AIOps Alert - Alta disponibilidad - "Backup"HA

AIOps Alert - Alta disponibilidad - "Backup"HA

15202
Created On 05/04/22 16:19 PM - Last Modified 08/23/23 22:13 PM


Symptom


HA1-Backup Link está en estado inactivo HA2-Backup Link está en estado
inactivo

Environment


PAN-OS

Cause


Si la salida de >show high-availability all muestra HA1 Backup Control Link o HA2 Backup Data Link como 'Link state: down' en el activo o activo-primario firewall en el par, AIOps for NGFW mostrará al usuario una alerta de advertencia

Si bien la razón más común para HA que los enlaces se caigan es el HA enlace físico en sí que se cae, puede haber otras razones, tales como: • No firewall poder procesar / recibir HA latidos a través de ese enlace en ese momento (Ejemplo: memoria alta, altaCPU, problema de recursos, sobreutilización / DDoS, problema de enlace,
etc.)
• O no firewall puede responder a/enviar HA latidos a través de ese enlace en ese momento (Ejemplo: memoria alta, alta CPU, problema de recursos, sobreutilización / DDoS, problema de enlace, etc.)
• HA Problema de enlace hardware (cable defectuoso, defectuoso, puerto defectuosoSFP, problema de placa posterior, firewall problema eléctrico)
• La distancia geográfica entre los 2 firewalls en el HA par es demasiado larga / lejos para la especificación
del cable / tipo • Otros problemas del HA sistema /SFP proceso que pueden ocurrir

Resolution


  1. Identifique la fecha exacta y la marca de hora en que se cayó el vínculo de copia de seguridad HA1 o el vínculo de copia de seguridad HA2
    1. Firewall GUI: Supervisar registros de > haga clic en Sistema
    2. Filtrar por la fecha y la marca de tiempo que el enlace HA1 Backup o HA2 Backup dejó de funcionar
    3. Revise la hora del problema del HA vínculo de copia de seguridad para ver si se produjo algún otro problema de interfaz, proceso, recurso o sistema en ese firewall momento que pueda indicar un problema de estado general con el firewall evento o cualquier evento relacionado
    4. Si se encuentran otros eventos que podrían haber contribuido al servidor de los vínculos HA1-Backup o HA2-Backup, busque la causa raíz de ese evento y resuélvalo.
  1. Comprobar el estado de la interfaz de los vínculos de HA copia de seguridad
    1. Dashboard > Widgets > System > haga clic en Alta disponibilidad
HA1-Backup Link Down Web GUI

  1. Utilice el comando show high-availability interface < ha1-backup | ha2-backup >Error de copia de seguridad HA2 CLI
    Nota: Utilice siempre SFP's de la lista de 's admitidos SFPpor Palo Alto Networks para los HA puertos. Los no compatibles SFPno se han probado ni validado para su uso en dispositivos de Palo Alto Networks. Si se utiliza un no compatible SFP , es probable que la interfaz nunca aparezca, fallas y otros problemas puedan ocurrir. Palo Alto Networks TAC puede rechazar el soporte si se utiliza uno no compatible SFP . Si actualmente se está utilizando un no compatible SFP , reemplácelo con un SFP de la lista de admitidos SFPa continuación antes de continuar.

Lista de 's/transceptores soportados SFP
  1. Resuelva cualquier hardwareproblema de enlace /physical probando componentes que funcionen bien o que funcionen hardware
    1. Vuelva a colocar el HA cable en ambos firewalls
    2. Vuelva a colocar el HA puerto SFP en ambos firewalls
    3. Reemplace el HA cable con un cable que funcione HA en buen estado del mismo tipo
    4. Reemplace el HA puerto con un puerto SFP SFP de trabajo conocido y en buen estado HA del mismo tipo
  1. Resuelva cualquier problema de rendimiento del plano de administración o del plano de datos (memoria alta, alta, alta CPUde búferes de paquetes/descriptores de paquetes)
Si el plano de administración o el plano de datos están demasiado ocupados, es posible que firewall no puedan recibir, procesar o enviar HA mensajes de latidos de manera confiable a través de los HA enlaces. Utilice los pasos siguientes para identificar, solucionar problemas y resolver la utilización alta del plano de administración o del plano de datos.
 
  1. Revise Monitor > Log haga clic en Sistema alrededor del momento en que se produjo la HA falla para identificar si hubo algún uso alto CPU / memoria / búfer de paquetes / descriptor de paquetes durante ese tiempo
  2. Compruebe el resultado de los siguientes CLI comandos:
> mostrar los recursos del sistema seguir (muestra el uso actual MP CPUde /memoria)
Busque cualquier memoria alta o alta en un determinado proceso: identifique qué proceso es (por ejemplo: mgmtsrvr, useridd, ha-agent, logrcvr, routed, authd, etc.), solucione por qué ese proceso tiene alta CPUCPU /memory y resuélvalo
 
En el ejemplo siguiente, se configuró un registro excesivo en las firewall reglas de seguridad Policy y, a su vez, eso provocó que el proceso logrcvr en el usara el firewall 100% del plano CPUde administración. Esto causó que otros procesos en el tuvieran problemas como que el firewall firewall ha_agent no poder responder a HA los latidos del corazón en ese momento. Una vez que se redujo la cantidad de registro en las reglas de seguridad Policy , el problema desapareció y HA volvió a ser estable.
Alto CPU en el proceso logrcvr en el plano de gestión: mostrar los recursos del sistema seguir                                                                      
 
> mostrar el monitor de recursos en ejecución (muestra el uso actual DP CPUde /Memoria/Búfer de paquetes/Descriptor de paquetes)
Busque cualquier uso alto de , búferes de paquetes, descriptores de paquetes o memoria: identifique qué recurso tiene una alta utilización y resuélvalo En el siguiente ejemplo, había un gran volumen de CPUtráfico (similar a un DDoS

) que pasaba a través firewall del en ese momento. Como resultado, los descriptores Data Plane CPU/packet buffers/packet se utilizaron mucho, y los firewall HA Heartbeats no pudieron ser procesados por las firewall interfaces correctamente. Una vez que se identificaron los flujos de tráfico ofensivos y se detuvo la entrada a través del , la utilización del firewallplano de datos volvió a los niveles normales y HA se estabilizó nuevamente.
Descriptores de paquetes de búferes de paquetes altos en el plano de datos: mostrar monitor de CPU recursos en ejecución                                           
  1. Utilice los siguientes comandos para comprobar los archivos MPde registro para /DP valores de uso en el pasado en la fecha + marca de tiempo del error reciente HA :
> MP-log MP-Monitor sin .log
> dp0-log dp-monitor sin .log
  1. Utilice los recursos de la sección Información adicional siguiente para identificar, solucionar problemas y resolver la utilización elevada del plano de administración o del plano de datos
  1. Comprobar HA que el estado es correcto
  1. Una vez que se haya identificado y resuelto el problema que causó que el enlace HA1 Backup o HA2 Backup estuviera inactivo en primer lugar (problema físico, problema de enlace /DP problema de recursos, MPproblema de proceso del sistema, etc.), si es necesario, HA anule la suspensión de la unidad previamente en mal estado de los comandos operativos > de alta disponibilidad del dispositivo > > haga clic en Hacer que el dispositivo local funcione para una alta disponibilidad
Cómo anular la suspensión HA
 
  1. Comprobar HA que se muestra de nuevo en buen estado en ambos firewalls
Panel > haga clic en Widgets > Sistema > haga clic en Alta disponibilidad
Web de panel de control en buen estado de HA1-Backup GUI
Usar el comando show high-availability all
HA1-Backup en buen estado CLIHA2-Backup en buen estado CLI

Additional Information


Ejemplo de plano de administración: Cómo identificar la alta utilización del plano de administración Procesos de plano de administración frente
a plano de datos Cómo interpretar la salida de "mostrar recursos del sistema"
Lista de recursos: Plano

de datos de rendimiento y estabilidad Cómo solucionar problemas de alta
utilización del plano de datos
Cómo solucionar ataques DoS Cómo
solucionar problemas de búfer de paquetes altos y descriptores de paquetes Cómo solucionar problemas de descriptores
de

paquetes altos (en chip)
Lista

de recursos: Rendimiento y estabilidad Otros recursos
Cómo solucionar problemas de firewall de redes de Palo Alto (curso de vídeo)
Lista de recursos: Solución de problemas de rendimiento Lista de recursos: Configuración de alta disponibilidad y solución de problemas
Lista de recursos: Solución de problemas de alta disponibilidad
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNqUCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language