AIOps-Warnung - Hohe Verfügbarkeit - "Backup"HA

AIOps-Warnung - Hohe Verfügbarkeit - "Backup"HA

15202
Created On 05/04/22 16:19 PM - Last Modified 08/23/23 22:13 PM


Symptom


HA1-Backup Link befindet sich im Down-Status HA2-Backup Link befindet sich im Down-Status

Environment


PAN-OS

Cause


Wenn die Ausgabe von >show high-availability all HA1 Backup Control Link oder HA2 Backup Data Link als 'Link state: down' auf dem Active oder Active-Primary im HA Paar firewall anzeigt, zeigt AIOps for NGFW dem Benutzer eine Warnmeldung

an. Während der häufigste Grund für HA Links, die ausfallen, die physische Verbindung selbst ist, Es kann andere Gründe geben, wie: • Entweder firewall nicht in der Lage, Heartbeats über diesen Link zu diesem Zeitpunkt zu verarbeiten / zu empfangen HA (Beispiel:
hochCPU, hoher Speicher, Ressourcenproblem, Überauslastung / DDoS, Linkproblem usw.)
• Entweder firewall nicht in der Lage, zu diesem Zeitpunkt auf Heartbeats über diesen Link zu reagieren / zu senden HA (Beispiel: hoher CPUSpeicher, Ressourcenproblem, Überauslastung / DDoS, Linkproblem usw.)
• HA Verbindungsproblem hardware (fehlerhaftes Kabel, fehlerhafter SFPAnschluss, Problem mit der Rückwandplatine, firewall elektrisches Problem)
• Die geografische Entfernung zwischen den 2 Firewalls im HA Paar ist zu lang / weit für das Kabel / die HA Typspezifikation
• Andere System- /SFP Prozessprobleme, die auftreten können

Resolution


  1. Identifizieren Sie das genaue Datum und den Zeitstempel, an dem der HA1 Backup Link oder HA2 Backup Link ausgefallen ist
    1. Firewall GUI: Überwachen > Protokolle klicken auf System
    2. Filtern nach Datum und Zeitstempel, mit dem der HA1 Backup- oder HA2-Backup-Link ausgefallen ist
    3. Überprüfen Sie den Zeitpunkt des HA Backup-Link-Problems, um festzustellen, ob zu diesem Zeitpunkt ein anderes Schnittstellen-, Prozess-, Ressourcen- oder Systemproblem aufgetreten istfirewall, das auf ein allgemeines Integritätsproblem mit dem firewall oder einem verwandten Ereignis hinweisen könnte.
    4. Wenn andere Ereignisse gefunden werden, die dazu beigetragen haben könnten, dass die HA1-Backup- oder HA2-Backup-Verknüpfung(en) ausfallen, finden Sie die Ursache dieses Ereignisses und beheben Sie sie
  1. Überprüfen des Schnittstellenstatus HA der Sicherungslinks
    1. Dashboard > Widgets > System > klicken Sie auf Hohe Verfügbarkeit
HA1-Backup Link Down Web GUI

  1. Verwenden Sie den Befehl show high-availability interface < ha1-backup | ha2-backup >HA2-Backup fehlgeschlagen CLI
    Hinweis: Verwenden Sie SFPimmer 's aus der Liste der von Palo Alto Networks unterstützten SFP's für die HA Ports. Nicht unterstützte SFPGeräte wurden nicht für die Verwendung in Palo Alto Networks-Geräten getestet und validiert. Wenn eine nicht unterstützte SFP Option verwendet wird, ist es wahrscheinlich, dass die Schnittstelle nie angezeigt wird, klappt und andere Probleme auftreten. Palo Alto Networks TAC kann den Support verweigern, wenn ein nicht unterstützter SFP Support verwendet wird. Wenn derzeit eine nicht unterstützte SFP verwendet wird, ersetzen Sie sie durch eine SFP aus der Liste der unterstützten SFP's unten, bevor Sie fortfahren.

Liste der unterstützten SFP's/Transceiver
  1. Beheben Sie alle hardwareProbleme mit der /physischen Verknüpfung, indem Sie zweifelsfrei funktionierende/funktionierende hardware Komponenten ausprobieren.
    1. Entfernen Sie das Kabel aus beiden Firewalls, und schließen Sie es HA wieder an.
    2. Entfernen Sie den Port SFP in beiden Firewalls, und setzen Sie ihn HA wieder ein.
    3. Ersetzen Sie das HA Kabel durch ein zweifelsfrei funktionierendes Kabel desselben Typs.HA
    4. Ersetzen Sie den HA Anschluss SFP durch einen zweifelsfrei funktionierenden Port SFP desselben Typs.HA
  1. Beheben von Leistungsproblemen auf Verwaltungsebene oder Datenebene (hoch CPU, hoher Arbeitsspeicher, hohe Paketpuffer/Paketdeskriptoren)
Wenn die Verwaltungsebene oder Datenebene zu ausgelastet ist, ist sie firewall möglicherweise nicht in der Lage, Heartbeat-Nachrichten zuverlässig über die HA Links zu empfangen, zu verarbeiten oder zu sendenHA. Führen Sie die folgenden Schritte aus, um die hohe Auslastung der Verwaltungsebene oder Datenebene zu identifizieren, Fehler zu beheben und zu beheben.
 
  1. Überprüfen Sie Monitor > Protokoll , klicken Sie auf System um den Zeitpunkt des HA Auftretens des Fehlers, um festzustellen, ob während dieser Zeit eine hohe CPU Auslastung / Speicher / Paketpuffer / Paketdeskriptor vorhanden war
  2. Überprüfen Sie die Ausgabe der folgenden CLI Befehle:
> Systemressourcen anzeigen folgen (zeigt die aktuelle MP CPU/Memory-Auslastung)
Suchen Sie nach einem hohen oder hohen Speicher in einem bestimmten Prozess - identifizieren Sie, welcher Prozess dies ist (z. B. mgmtsrvr, useridd, ha-agent, logrcvr, routed, authd usw.), beheben Sie, warum dieser Prozess einen hohen CPUCPU /memory-Wert hat, und lösen Sie ihn auf.
 
Im folgenden Beispiel wurde eine übermäßige Protokollierung für die firewall Sicherheitsregeln Policy konfiguriert, was wiederum dazu führte, dass der logrcvr-Prozess auf der firewall 100% der Verwaltungsebene CPUverwendete. Dies führte dazu, dass andere Prozesse Probleme wie firewall die ha_agent hatten, die firewall in diesem Moment nicht auf HA Herzschläge reagieren konnten. Sobald die Menge der Protokollierung in den Sicherheitsregeln Policy reduziert wurde, verschwand das Problem und HA wurde wieder stabil.
Hoch CPU auf logrcvr-Prozess auf Managementebene - Systemressourcen anzeigen folgen                                                                      
 
> wird der laufende Ressourcenmonitor angezeigt (zeigt die aktuelle DP CPUNutzung von /Memory/Packet Buffer/Packet Descriptor)
Suchen Sie nach einer hohen Auslastung von CPU, Paketpuffern, Paketdeskriptoren oder Speicher - identifizieren Sie, welche Ressource eine hohe Auslastung aufweist, und lösen Sie sie

auf. Im folgenden Beispiel gab es zu diesem Zeitpunkt ein großes Verkehrsaufkommen (ähnlich einem DDoS).firewall Infolgedessen wurden die Datenebenen CPU/Paketpuffer/Paketdeskriptoren stark genutzt, und die firewall HA Heartbeats konnten von den firewall Schnittstellen nicht ordnungsgemäß verarbeitet werden. Sobald die störenden Verkehrsströme identifiziert und gestoppt wurden, sank firewalldie Auslastung der Datenebene wieder auf ein normales Niveau und HA wurde wieder stabil.
Hohe CPU Paketpuffer Paketdeskriptoren auf der Datenebene - zeigen laufenden Ressourcenmonitor an                                           
  1. Verwenden Sie die folgenden Befehle, um Protokolldateien auf MP/DP Verwendungswerte in der Vergangenheit zum Datum + Zeitstempel des letzten HA Fehlers zu überprüfen:
>less mp-log mp-monitor.log
>weniger dp0-log dp-monitor.log
  1. Verwenden Sie die Ressourcen im Abschnitt Zusätzliche Informationen weiter unten, um die hohe Auslastung der Verwaltungsebene oder Datenebene weiter zu identifizieren, Fehler zu beheben und zu beheben.
  1. Überprüfen Sie, ob HA der Status fehlerfrei ist
  1. Sobald das Problem, das dazu geführt hat, dass die HA1 Backup- oder HA2 Backup-Verbindung überhaupt nicht verfügbar war, identifiziert und behoben wurde (physisches Problem, Verbindungsproblem, /DP Ressourcenproblem, HA MPSystemprozessproblem usw.), heben Sie bei Bedarf die zuvor fehlerhafte Einheit von Device > High Availability > Operational Commands auf, > klicken Sie auf Lokales Gerät für hohe Verfügbarkeit funktionsfähig machen
So heben Sie die Suspendierung auf HA
 
  1. Verify zeigt in beiden Firewalls HA wieder fehlerfrei an
Klicken Sie im Dashboard > auf Widgets > System > klicken Sie auf Hohe Verfügbarkeit
HA1-Backup Healthy Dashboard Web GUI
Verwenden Sie den Befehl show high-availability all
HA1-Backup fehlerfrei CLIHA2-Backup fehlerfrei CLI

Additional Information


Beispiel für die Verwaltungsebene:
So identifizieren Sie eine hohe Auslastung
der Verwaltungsebene Verwaltungsebene im Vergleich zu Datenebenenprozessen
Interpretieren der Ausgabe von "Systemressourcen anzeigen"
Ressourcenliste: Leistungs

- und Stabilitätsdatenebene Fehlerbehebung bei
hoher Datenebenenauslastung
Fehlerbehebung bei DoS-Angriffen
Problembehandlung bei Problemen mit hohem Paketpuffer und Paketdeskriptor Fehlerbehebung bei Deskriptoren mit hohen
Paketen (On-Chip)
Ressourcenliste: Leistung und Stabilität

Weitere Ressourcen Fehlerbehebung bei
Palo Alto Networks Firewalls (Videokurs)
Ressourcenliste: Fehlerbehebung bei Leistungsproblemen
Ressourcenliste: Konfiguration und Problembehandlung für Hochverfügbarkeit Ressourcenliste: Problembehandlung
bei Problemen mit hoher Verfügbarkeit
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNqUCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language