Palo Alto HA で 4 回切り替わると suspended 状態になります

2025年3月16日

動作確認環境

PA-200
- Version 8.1.19

15 分以内に切り替わった回数のカウント

Palo Alto ファイアウォールで Active/Passive HA を構成しているとき、15 分以内に Active から別の状態に切り替わった回数は機器内部でカウントされています。

そのカウントは show high-availability flap-statistics コマンドで確認できます。

admin@PA-200-A(active)> show high-availability flap-statistics

Group 1:
  Mode: Active-Passive
  Flap Statistics:
    Preemptions since flap counter reset           : 0
    Non-functional states since flap counter reset : 1
    Maximum flaps allowed before suspending device : 3

切り替わり回数が一定以上になると suspended 状態になる

15 分以内に Active から別の状態に切り替わった回数が一定以上になると、HA の状態（State）が suspended になります。

このときの閾値となる切り替わり回数はデフォルトで 3 で、4 回切り替わりが発生すると suspended 状態になります。

admin@PA-200-A(suspended)> show high-availability flap-statistics

Group 1:
  Mode: Active-Passive
  Flap Statistics:
    Preemptions since flap counter reset           : 0
    Non-functional states since flap counter reset : 4
    Maximum flaps allowed before suspending device : 3

admin@PA-200-A(suspended)>
admin@PA-200-A(suspended)> show high-availability state

Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: suspended (last 9 seconds)
(以下略)

この閾値となる切り替わり回数は HA 設定で変更可能です。

閾値となる切り替わり回数の設定項目

GUI だと [Device → 高可用性] 画面の [選択設定] の設定項目である「フラップ最大」が該当の設定です。

CLI コンフィグだと以下の設定が該当します。

set deviceconfig high-availability group election-option timers advanced flap-max 3

suspended 状態から元に戻す方法

オペレーショナルモードで以下のコマンドを実行すると suspended 状態から通常の状態に戻せます。

> request high-availability state functional

admin@PA-200-A(suspended)> request high-availability state functional

Successfully changed HA state to functional
admin@PA-200-A(initial)>
admin@PA-200-A(passive)>
admin@PA-200-A(passive)> show high-availability state

Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 34 seconds)
(以下略)