目次
動作確認環境
- PA-200
- Version 8.1.19
15 分以内に切り替わった回数のカウント
Palo Alto ファイアウォールで Active/Passive HA を構成しているとき、15 分以内に Active から別の状態に切り替わった回数は機器内部でカウントされています。
そのカウントは show high-availability flap-statistics コマンドで確認できます。
admin@PA-200-A(active)> show high-availability flap-statistics
Group 1:
Mode: Active-Passive
Flap Statistics:
Preemptions since flap counter reset : 0
Non-functional states since flap counter reset : 1
Maximum flaps allowed before suspending device : 3切り替わり回数が一定以上になると suspended 状態になる
15 分以内に Active から別の状態に切り替わった回数が一定以上になると、HA の状態(State)が suspended になります。
このときの閾値となる切り替わり回数はデフォルトで 3 で、4 回切り替わりが発生すると suspended 状態になります。
admin@PA-200-A(suspended)> show high-availability flap-statistics
Group 1:
Mode: Active-Passive
Flap Statistics:
Preemptions since flap counter reset : 0
Non-functional states since flap counter reset : 4
Maximum flaps allowed before suspending device : 3
admin@PA-200-A(suspended)>
admin@PA-200-A(suspended)> show high-availability state
Group 1:
Mode: Active-Passive
Local Information:
Version: 1
Mode: Active-Passive
State: suspended (last 9 seconds)
(以下略)この閾値となる切り替わり回数は HA 設定で変更可能です。
閾値となる切り替わり回数の設定項目
GUI だと [Device → 高可用性] 画面の [選択設定] の設定項目である 「フラップ最大」が該当の設定です。
CLI コンフィグだと以下の設定が該当します。
- set deviceconfig high-availability group election-option timers advanced flap-max 3
suspended 状態から元に戻す方法
オペレーショナルモードで以下のコマンドを実行すると suspended 状態から通常の状態に戻せます。
- > request high-availability state functional
admin@PA-200-A(suspended)> request high-availability state functional
Successfully changed HA state to functional
admin@PA-200-A(initial)>
admin@PA-200-A(passive)>
admin@PA-200-A(passive)> show high-availability state
Group 1:
Mode: Active-Passive
Local Information:
Version: 1
Mode: Active-Passive
State: passive (last 34 seconds)
(以下略)障害試験の実施時はこの事象が起きやすい
Palo Alto ファイアウォールの HA を構築する案件の障害試験を実施時、頻繁に HA の切り替わりが発生することになるため、suspended 状態になる可能性があります。
suspended になった場合は上記のコマンドにて復旧させれば OK ということを覚えておいてください。
参考資料
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClhJCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済
コメント