対象読者

・PA-3020を運用している方

・PaloAlto製のネットワーク機器を運用してる方

・PAN-OS 8.1.6 でPA-3020を運用してる方

起きた事象

PA-3020にWeb-GUI経由でポリシーを1行追加したところ、GUIに1分間程度アクセスできなくなり、HA1-バックアップがLinkDownした。

GUIにアクセスし、システムログを確認したところ、HA-1backupがdownしていることを確認。

Pa-3020経由でインターネット接続ができなくなるなどの障害は発生しませんでした。

現状の構成

PA-3020を　2台構成（Active-Passive）いわゆるアクティブスタンバイ構成です。

PAN-OS: 8.1.6

実施した内容

・ログの確認

・ポリシーが原因かと思ってポリシーの削除

　　⇒ログ変わらず

・不明なためサポートに連絡

不具合の内容

PAN-OS 8.1.6　の既知の不具合だそうです。

対応策としては8.1.9 ないしは9.0.0にアップデートすることで改善すると事。

candidate-configをrunning-configへcommit 時に sysdagent が他の process と

競合して、HA interface に関する情報を空にしてしまうことにより

HA interface のLink Down が発生するとのこと。

 　⇒まさに今回の事例と同様でした。

HA1 , HA1-Backupが同時にDownすることは理論的に、発生はしないとの事。

復旧方法

何度か Commit すると復旧しました。

　　⇒サポートから上記案内がありました。

所感

FWの大きな変更をしませんので、非常に怖かったです...（HA周りは特に怖いですね）

PAN-OSをアップデートしてから特に何も起きていなかったので油断していました。

大きな影響は恐らくなさそうですが、どこかのタイミングで8.1.9以降にアップデートすることが望ましそうです。

NW運用や、トラブルで困ってる人の解決の糸口になったら嬉しいです。