PA-3020(Paloalto)のHA1backupがLinkdownする
対象読者
・PA-3020を運用している方
・PaloAlto製のネットワーク機器を運用してる方
・PAN-OS 8.1.6 でPA-3020を運用してる方
起きた事象
PA-3020にWeb-GUI経由でポリシーを1行追加したところ、GUIに1分間程度アクセスできなくなり、HA1-バックアップがLinkDownした。
GUIにアクセスし、システムログを確認したところ、HA-1backupがdownしていることを確認。
Pa-3020経由でインターネット接続ができなくなるなどの障害は発生しませんでした。
現状の構成
PA-3020を 2台構成(Active-Passive)いわゆるアクティブスタンバイ構成です。
PAN-OS: 8.1.6
実施した内容
・ログの確認
・ポリシーが原因かと思ってポリシーの削除
⇒ログ変わらず
・不明なためサポートに連絡
不具合の内容
PAN-OS 8.1.6 の既知の不具合だそうです。
対応策としては8.1.9 ないしは9.0.0にアップデートすることで改善すると事。
candidate-configをrunning-configへcommit 時に sysdagent が他の process と
競合して、HA interface に関する情報を空にしてしまうことにより
HA interface のLink Down が発生するとのこと。
⇒まさに今回の事例と同様でした。
HA1 , HA1-Backupが同時にDownすることは理論的に、発生はしないとの事。
復旧方法
何度か Commit すると復旧しました。
⇒サポートから上記案内がありました。
所感
FWの大きな変更をしませんので、非常に怖かったです...(HA周りは特に怖いですね)
PAN-OSをアップデートしてから特に何も起きていなかったので油断していました。
大きな影響は恐らくなさそうですが、どこかのタイミングで8.1.9以降にアップデートすることが望ましそうです。
NW運用や、トラブルで困ってる人の解決の糸口になったら嬉しいです。
自己紹介とブログについて
自己紹介
アキタケといいます。(Twitterはほぼ見るばかりです)
現職では製造業の中~大?企業で情シス兼インフラエンジニア(NW中心)として仕事しています。(今年で3年目)
前職ではOA機器の商社で仕事していました。仕事としてはお客様にNW、サーバーを構築したり保守していました。
得意な領域(あくまで自分の中で)はNW周りです。
それ以外では情シスなのでMicrosoft365や、サーバー、クライアント(PC、スマホ)含めて何でも手広くサポートしているのが現在です。
ベタですがCiscoとかの機械に触ってると今でも楽しいですw
興味のある領域としてはクラウド全般です。はてな含めて日々色々な記事で勉強させてもらってます(感謝)
ブログについて
日々インターネットに助けてもらっているので、自分も何か展開できたらと思ったのが理由です。
備忘録の意味も込めて色々かけていければと思ってます。
色々な人の技術書の書評とか読むのが好きなので、そういったことも触れられたらと思います。
NW運用や、トラブルで困ってる人の解決の糸口になったら嬉しいです。
