Paloalto

【Paloalto】HAの切り替え方法【CLI,GUI】

【Paloalto】HAの切り替え方法

paloalto(PA-200)で検証を行っています。
今回はPaloalto(PA-200)で、HAの切り替え方法(CLI、GUI)をまとめていきます!

  • 機種はPA-200
  • OSのバージョンはsw-version: 8.0.19
  • 構成はActive/Passiveを想定

CLIで設定する方法

【CLI】HAを切り替える方法

↓CLIでHAステータスを確認するコマンド

<オペレーションモード>
show high-availability state

↓CLIでHA切り替えを実行するコマンド

<オペレーションモード>
request high-availability state suspend
request high-availability state functional

【CLI】HA切り替え実行結果

以下は実行結果になります。
まずはActive機にログインし、「show high-availability state」でHAステータスを確認します。

「PA-200-first」というホスト名がActiveで、peerの「PA-200-second」というホスト名がPassiveであることが初期状態だとします。

※意図的に「 Running Configuration: not synchronized 」にしておりますが、今回のHA切り替えにおいては無視してください。本来なら「synchronized」が理想です。

test-user@PA-200-first(active)> show high-availability state 
Group 10: 
  Mode: Active-Passive 
  Local Information: 
    Version: 1 
    Mode: Active-Passive 
    State: active (last 1 minutes) 
    Last suspended state reason: User requested 
    Device Information: 
      Management IPv4 Address: 192.168.2.150/24 
      Management IPv6 Address: 
    HA1 Control Links Joint Configuration: 
      Encryption Enabled: no 
    Election Option Information: 
      Priority: 100 
      Preemptive: no 
    Version Compatibility: 
      Software Version: Mismatch 
      Application Content Compatibility: Match 
      Anti-Virus Compatibility: Match 
      Threat Content Compatibility: Match 
      VPN Client Software Compatibility: Match 
      Global Protect Client Software Compatibility: Match 
  Peer Information: 
    Connection status: up 
    Version: 1 
    Mode: Active-Passive 
    State: passive (last 1 minutes) 
    Last suspended state reason: User requested 
    Device Information: 
      Management IPv4 Address: 192.168.2.151/24 
      Management IPv6 Address: 
      Connection up; Primary HA1 link 
      Connection up 
    Election Option Information: 
      Priority: 200 
      Preemptive: no 
  Configuration Synchronization: 
    Enabled: yes 
    Running Configuration: not synchronized 
      Out-of-sync Reason: Peer disconnected with commit 
test-user@PA-200-first(active)>

HA切り替えを実行するコマンドを入力します。
PA-200-firstがpassiveになりました。

test-user@PA-200-first(active)> request high-availability state suspend 
Successfully changed HA state to suspended 
test-user@PA-200-first(suspended)> request high-availability state functional 
Successfully changed HA state to functional 
test-user@PA-200-first(initial)> 
test-user@PA-200-first(initial)> 
test-user@PA-200-first(passive)>

HA切り替え後のHAステータスを確認します。

Peer(PA-200-second)のステータスがActiveになり、PA-200-firstがPassiveになったのでHA切り替えが完了しました。

test-user@PA-200-first(passive)> show high-availability state 
Group 10: 
  Mode: Active-Passive 
  Local Information: 
    Version: 1 
    Mode: Active-Passive 
    State: passive (last 47 seconds) 
    Last suspended state reason: User requested 
    Device Information: 
      Management IPv4 Address: 192.168.2.150/24 
      Management IPv6 Address: 
    HA1 Control Links Joint Configuration: 
      Encryption Enabled: no 
    Election Option Information: 
      Priority: 100 
      Preemptive: no 
    Version Compatibility: 
      Software Version: Mismatch 
      Application Content Compatibility: Match 
      Anti-Virus Compatibility: Match 
      Threat Content Compatibility: Match 
      VPN Client Software Compatibility: Match 
      Global Protect Client Software Compatibility: Match 
  Peer Information: 
    Connection status: up 
    Version: 1 
    Mode: Active-Passive 
    State: active (last 59 seconds) 
    Last suspended state reason: User requested 
    Device Information: 
      Management IPv4 Address: 192.168.2.151/24 
      Management IPv6 Address: 
      Connection up; Primary HA1 link 
      Connection up 
    Election Option Information: 
      Priority: 200 
      Preemptive: no 
  Configuration Synchronization: 
    Enabled: yes 
    Running Configuration: not synchronized 
      Out-of-sync Reason: Peer disconnected with commit 
test-user@PA-200-first(passive)>

【CLI】HA切り替えTips

設定を元に戻すため、passiveになった機器(PA-200-first)からpeer(Active機、PA-200-second)をsuspend、functionalにして切り替えもできる。

わざわざpeer機器にログインしなくていいので楽

CLIコマンド

<オペレーションモード>
request high-availability state peer suspend
request high-availability state peer functional

実行結果

test-user@PA-200-first(passive)> request high-availability state peer suspend 
Successfully changed peer HA state to suspended 
test-user@PA-200-first(active)> request high-availability state peer functional 
Successfully changed peer HA state to functional 
test-user@PA-200-first(active)> 
test-user@PA-200-first(active)> show high-availability state 
Group 10: 
  Mode: Active-Passive 
  Local Information: 
    Version: 1 
    Mode: Active-Passive 
    State: active (last 12 seconds) 
    Last suspended state reason: User requested 
    Device Information: 
      Management IPv4 Address: 192.168.2.150/24 
      Management IPv6 Address: 
    HA1 Control Links Joint Configuration: 
      Encryption Enabled: no 
    Election Option Information: 
      Priority: 100 
      Preemptive: no 
    Version Compatibility: 
      Software Version: Mismatch 
      Application Content Compatibility: Match 
      Anti-Virus Compatibility: Match 
      Threat Content Compatibility: Match 
      VPN Client Software Compatibility: Match 
      Global Protect Client Software Compatibility: Match 
  Peer Information: 
    Connection status: up 
    Version: 1 
    Mode: Active-Passive 
    State: passive (last 2 seconds) 
    Last suspended state reason: User requested 
    Device Information: 
      Management IPv4 Address: 192.168.2.151/24 
      Management IPv6 Address: 
      Connection up; Primary HA1 link 
      Connection up 
    Election Option Information: 
      Priority: 200 
      Preemptive: no 
  Configuration Synchronization: 
    Enabled: yes 
    Running Configuration: not synchronized 
      Out-of-sync Reason: Peer disconnected with commit 
test-user@PA-200-first(active)>

GUIで設定する方法

【GUI】HAを切り替える方法

Active機にログインし、↓「Dashboard」の「高可用性」でHAステータスを確認します。

ない場合は、Dashboard → ウィジット → システム → 高可用性を選択すると、簡易的なHAのウィジェットがダッシュボードに追加できますので設定しておくと便利です↓

Device → 高可用性 → 操作コマンドに移動し、「Suspend local デバイス」をクリック

確認のプロンプトが表示されるので、OKをクリック

Suspend状態になりました。次に、「Make local デバイス functional」をクリック

特にプロンプトなどは表示されませんが、functional → initial → passiveの状態遷移を経てHA切り替えが完了します↓

【Paloalto公式】HA Firewall States

【参考】PaloaltoのHA状態遷移

PaloaltoのHA状態遷移は↓が参考になります。
「Suspend」が意図的にHAから外れた状態、「Non-Functional」が何かしら問題が発生した場合のステータスと覚えておけば問題ないと思います。

引用元(PDF):https://knowledgebase.paloaltonetworks.com/servlet/fileField?entityId=ka10g000000D6sRAAS&field=Attachment_1__Body__s

まとめ

最後にまとめになります!

  • HAのステータスは「show high-availability state」で確認!
  • HA切り替えは「request high-availability state suspend」と「request high-availability state functional」で実行!

以上!

おすすめの関連記事