Palo Alto HA で 4 回切り替わると suspended 状態になります

HA

動作確認環境

  • PA-200
    • Version 8.1.19

15 分以内に切り替わった回数のカウント

Palo Alto ファイアウォールで Active/Passive HA を構成しているとき、15 分以内に Active から別の状態に切り替わった回数は機器内部でカウントされています。

そのカウントは show high-availability flap-statistics コマンドで確認できます。

admin@PA-200-A(active)> show high-availability flap-statistics

Group 1:
  Mode: Active-Passive
  Flap Statistics:
    Preemptions since flap counter reset           : 0
    Non-functional states since flap counter reset : 1
    Maximum flaps allowed before suspending device : 3

切り替わり回数が一定以上になると suspended 状態になる

15 分以内に Active から別の状態に切り替わった回数が一定以上になると、HA の状態(State)が suspended になります。

このときの閾値となる切り替わり回数はデフォルトで 3 で、4 回切り替わりが発生すると suspended 状態になります。

admin@PA-200-A(suspended)> show high-availability flap-statistics

Group 1:
  Mode: Active-Passive
  Flap Statistics:
    Preemptions since flap counter reset           : 0
    Non-functional states since flap counter reset : 4
    Maximum flaps allowed before suspending device : 3

admin@PA-200-A(suspended)>
admin@PA-200-A(suspended)> show high-availability state

Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: suspended (last 9 seconds)
(以下略)

この閾値となる切り替わり回数は HA 設定で変更可能です。

閾値となる切り替わり回数の設定項目

GUI だと [Device → 高可用性] 画面の [選択設定] の設定項目である 「フラップ最大」が該当の設定です。

CLI コンフィグだと以下の設定が該当します。

  • set deviceconfig high-availability group election-option timers advanced flap-max 3

suspended 状態から元に戻す方法

オペレーショナルモードで以下のコマンドを実行すると suspended 状態から通常の状態に戻せます。

  • > request high-availability state functional
admin@PA-200-A(suspended)> request high-availability state functional

Successfully changed HA state to functional
admin@PA-200-A(initial)>
admin@PA-200-A(passive)>
admin@PA-200-A(passive)> show high-availability state

Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 34 seconds)
(以下略)

障害試験の実施時はこの事象が起きやすい

Palo Alto ファイアウォールの HA を構築する案件の障害試験を実施時、頻繁に HA の切り替わりが発生することになるため、suspended 状態になる可能性があります。

suspended になった場合は上記のコマンドにて復旧させれば OK ということを覚えておいてください。

参考資料

HA ノードは、プリエンプション ループ Suspended 状態にいつ行きますか。
問題:   HA ノードは「中断」状態は、プリエンプト ・ ループに移動します。   ノードは、次のセットアップ構成で優先権による中断状態に移動できます。   個々 のノードは、優先度の値と優先順位を付ける個々 のノードを提唱するプリエンプションで構成されます。
knowledgebase.paloaltonetworks.com
How to Recover HA Pair Member from the Suspended State
Before making the node functional, consider the following recommendations : Investigate and the fix the issue of the interface and/or path monitoring f
knowledgebase.paloaltonetworks.com

Palo Alto HA についての基礎知識【初学者向け】
HA の概要 2 台の Palo Alto ファイアウォールを HA ペアとして設定することができる HA ではペアのファイアウォールに障害が発生した場合に代替のファイアウォールを使用できるようにすることで、ダウンタイムを最小限に抑えること...
palofw-lab.com
2023.02.16
Palo Alto HA で設定変更時のコンフィグ同期について
動作確認環境 PA-200 Version 8.1.19 HA での設定変更とコンフィグの同期 HA 構成の Palo Alto ファイアウォールの設定変更をする際、以下のような疑問を持つかもしれません。 設定変更したらコンフィグはピアに同...
palofw-lab.com
2023.02.18
【全記事リスト】Palo Alto 設計構築用ナレッジまとめ
基礎知識 Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】 Palo Alto コンフィグの種類とコミットとは【基礎知識】 Palo Alto ホスト名とドメイン名の設定方法 Palo Alto 管理インターフェース...
palofw-lab.com
2023.02.11

コメント

Ads Blocker Image Powered by Code Help Pro

広告ブロッカーが検出されました

当ブログは広告ブロッカーを利用しての閲覧に対応していません。

閲覧するためにはブラウザの拡張機能で広告ブロッカーを無効化してください。

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

タイトルとURLをコピーしました