Palo Alto 高可用性 HA 設定

內容目錄

Environment

PA VM: PanOS 8.1

PC: Win7

Preliminaries

首先要做HA的話需要兩台Firewall

我準備兩台同一網段的PA VM

  1. 192.168.84.15
  2. 192.168.84.16

Architecture

HA Setup

Interface Setup

先選擇要使用哪兩隻腳做HA

我自己Lab使用eth6, eth7

點進去Interface的Type選擇城HA

General Setup

接著開始設定HA

到Device->High Availability->General->Setup

點選Setup右上角的齒輪

把HA模式enable起來

Group ID隨便一個數字 但是兩台做HA的Group ID要一樣

我採用Active Passive模式

Peer HA1 IP Address就要選對方PA的HA1 IP

完成後按下ok

接著一樣在High Availability頁面可以看到Control Link的設定

Device->High Availability->Control Link

一樣按下右上角齒輪進行設定

Device->High Availability->Data Link

我將Data Link設定在eth7

一樣在右上角齒輪可以進行設定

Election Settings Setup

同樣在High Availability的設定區塊裏面

這裡主要設定Link Down之後需要等多久會切換

我選擇Aggressive是只要Link Down的話就會立即切換

HA Passive Mode

同時還要設定Passive Mode

不然在我Down Link之後他根本不會切換過去

在Device->High Availability->General->Active/Passive Settings

按下右上角齒輪

Shutdown是Active的腳Shutdown後才會進行切換

而Auto就會是當Active的網路異常時就會切換

這一塊主要設定切換的條件

在Device->High Availability->Link and Path Monitoring->Link Monitoring

先將Link Monitoring打開

並且下面的條件Any或者All是指Link Group裡面的Interface是全部interface斷線還是任意一個斷線就會切換

在之後就是把Link Group加進去HA的兩個Interface

這樣就設定完就可以commit下去

然後另一台PA就做一樣的設定

Check

要確認HA的狀態

到Dashboard->Widgets->System將High Availability打開來

稍微等兩台進行溝通後

就可以在HA的狀態裡面看到綠燈

如果是在Active的機器看的話Peer就是對方是黃燈

還在Passive的機器上面看的話

Local就是黃燈

Result

因為我的測試環境是架在VMWare ESXi上面

所以我只需要把Interface拔掉即可

先把PC做NAT出去

先從Active的PA看Log有沒有停

然後Down Link來看流量是不是留到Passive上面去

如果Active跟Passive有切換的話就代表是成功的

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。