Два в одном (HA) PaloAlto / forpes.ru

Главная
Два в одном (HA) PaloAlto

Два в одном (HA) PaloAlto +1

28.10.2025 12:23

AnonimUwU1337 0 276 Источник

Здравствуйте, дорогие коллеги, сегодня с вами будет изучать тему HA Paloalto. Для этого нам понадобится 2 paloalto.

Как всегда будем все реализовать на практике, и буквально чутка теории)

HA = дублирование двух (или до 16) Palo Alto для отказоустойчивости. Один работает (Active), второй пассивный ждет... (Passive). Если активный падает, то пассивный мгновенно берёт на себя сессии и конфигурацию

Синхронизируется:

Конфигурация сети, объектов, политик.
Состояния сессий (session table).
Routing, NAT, User-ID, DHCP leases.

Не синхронизируется:

IP management интерфейсов.
Логи, ACC данные.
Профили админов, лицензии.

HA = есть 4 типа
HA1 (Control) — управление и синхронизация конфигурации.
HA2 (Data) — синхронизация сессий, таблиц, ARP и IPSec.
HA3 (Packet-Forwarding) — трафик между активными устройствами (только Active/Active).
HA4 (Cluster Sync) — обмен состоянием между членами HA-кластера (в мультипарных сценариях).

Линк	Уровень	Функция	Порты / Протоколы	Примечания
HA1 (Control Link)	L3	Управление, heartbeats, hellos, синхронизация конфигурации и User-ID	TCP 28769, 28260 (plaintext), TCP 28 (SSH encryption), ICMP	IP обязателен. Может быть MGT или data-порт.
HA2 (Data Link)	L2 (по умолчанию) / L3 (через UDP/IP)	Синхронизация сессий, таблиц маршрутов, ARP, IPSec SA	EtherType 0x7261, либо IP proto 99 / UDP 29281	Односторонний поток — от active → passive.
HA3 (Packet-Forwarding)	L2	Пересылка трафика между firewalls при Active/Active	MAC-in-MAC, jumbo frames обязателен	Без IP, без шифрования. Только при Active/Active.
HA4 (Cluster Sync)	L2	Обмен состоянием сессий между всеми членами HA-кластера	Проприерарный L2 keepalive	Только при HA Cluster (до 16 узлов).

Active/Passive

Характеристика
Работа	Один активен, другой в ожидании. При сбое активного → пассивный становится активным.
Синхронизация	Полная (конфиг, таблицы маршрутов, сессии).
Поддержка	Virtual Wire, Layer 2, Layer 3.
Плюсы	Простая логика, лёгкая отладка маршрутизации, стабильность.
Минусы	Второй узел простаивает.
Применение	95% корпоративных сценариев, в том числе VM-Series на AWS/Azure.

Active/Active

Характеристика	Суть
Работа	Оба firewall одновременно активны. Каждый ведёт свои сессии и таблицы маршрутов, синхронизирует состояние с соседом.
Поддержка	Только Virtual Wire и Layer 3 (L2 — нет).
DHCP	DHCP client — не поддерживается. Только Active-Primary может быть DHCP Relay.
Балансировка	Нет нативного load-balancing. Есть только load-sharing — через ECMP, несколько ISP или внешний балансировщик.
Особенности	Концепция session owner / session setup. Нужны Floating IP и продвинутая маршрутизация.
Плюсы	Быстрый failover, повышенная производительность, оба узла в работе.
Минусы	Высокая сложность, требует точного дизайна, риски ошибок в NAT/маршрутах.
Применение	Только если оба устройства должны постоянно обслуживать трафик и у тебя сложная архитектура с ECMP или VRRP-аналогом.

Минус в Active/Active в том что, можно временно обрабатывать больше трафика, чем может один firewall, но если один падает → второй должен вытянуть весь трафик с инспекцией. Одним словом если не рассчитан запас — получишь лаги и сбой приложений. Если у вас классическая корпоративная сеть (2 зоны, NAT, маршруты) и Cloud(Azure,AWS) то лучше использовать Active/Passive. А если Data Center с ECMP, мульти-ISP, двухсторонним трафиком то Active/Active

Что такое Device Priority?

В HA-паре есть два устройства. Оба могут быть активными, но только одно реально обрабатывает трафик.
Device priority — это число, которое указывает, какое устройство должно быть главным.

Чем меньше значение, тем выше приоритет.
Пример:
- FW1 priority = 50
- FW2 priority = 100
  → FW1 должен быть активным, FW2 — резервным.

Если приоритет одинаковый — система выбирает активный автоматически (по внутренним параметрам, например MAC-адресу HA-линка).

Preemption — это настройка, которая разрешает устройству с более высоким приоритетом автоматически вернуть себе роль активного, если оно восстановилось после сбоя.

Failover в пало

Heartbeat и Hello

Hello-сообщения — это «проверки связи» между устройствами. Отправляются через HA1 каждые несколько секунд.
Heartbeat — это ICMP-пинг между ними.
Если три пинга подряд не проходят, считается, что сосед умер → происходит failover.

Link Monitoring

Ты можешь указать какие порты следить (например, ae1, ae2).
Если они упали — система видит «линк пропал».
Ты сам решаешь:

считать отказом, если любой порт из группы упал;
или только если все из группы упали.

Можно создавать несколько таких групп.
По умолчанию: если упал хотя бы один линк → firewall объявляет себя неисправным и отдаёт роль другому.

Path Monitoring

Тут уже не порты, а ICMP-пинг до конкретных IP-адресов (например, до шлюза или DNS).
Если 10 подряд пингов не доходят → IP считается недоступным.
Сценарий:

пингуем 8.8.8.8 и 1.1.1.1;
если оба не отвечают → failover.

Можно также указать:

три группы IP-адресов;
логика «любой» или «все» недоступны = отказ.

Last device standing

Это защита от ситуации, когда оба устройства видят сбой (например, линк к провайдеру умер с обеих сторон).

В таком случае Palo Alto говорит:

«Если я последний, кто хоть как-то жив, я не буду выключаться».

То есть активное устройство остаётся активным, даже если link/path мониторинг показывает ошибку.
Это чтобы не попасть в цикл бесконечного переключения туда-сюда.

Что такое "loop" и Flap Max

Если оба устройства видят одинаковую проблему (например, маршрут не пингуется) и оба пытаются стать активными — начинается петля failover.
Firewall то активный, то пассивный — и так бесконечно.

Чтобы это остановить, есть параметр Flap Max — после нескольких таких циклов устройство уходит в состояние suspended.
Из suspended оно само не выйдет — надо вручную включить обратно.

Предварительные требования для HA (High Availability)

Перед тем как настроить HA на межсетевых экранах Palo Alto Networks, необходимо проверить следующие условия:

Модель
Оба межсетевых экрана в паре должны быть одной и той же аппаратной модели или одной и той же виртуальной модели (VM).

Версия PAN-OS
Оба межсетевых экрана должны работать под управлением одной и той же версии PAN-OS.
Однако во время обновления программного обеспечения допускается наличие разных версий PAN-OS.
Синхронизация сессий всегда работает при обновлении между релизами обслуживания (maintenance releases) одной и той же минорной версии (например, при обновлении с PAN-OS 9.0.1 до 9.0.3).

Актуальные базы данных приложений
Каждый межсетевой экран должен иметь обновлённые базы данных приложений, URL и угроз.
Эти базы данных должны совпадать на обеих системах.

Типы интерфейсов HA
Оба межсетевых экрана должны использовать одинаковые выделенные сетевые интерфейсы HA
или комбинацию порта управления (management port) и внутренних портов (in-band), настроенных как интерфейсы типа HA.

Лицензии
Лицензии уникальны для каждого межсетевого экрана и не могут использоваться совместно.
Поэтому необходимо лицензировать оба устройства, причём набор лицензий должен быть идентичным.
Если лицензии отличаются, устройства не смогут синхронизировать конфигурацию и поддерживать равенство (parity) для корректного переключения (failover).

Соответствие конфигурации слотов
Для моделей межсетевых экранов с несколькими слотами конфигурация слотов должна совпадать на обоих устройствах.

Рекомендации по настройке резервных ссылок HA

При настройке резервных каналов высокой доступности учитывайте следующие рекомендации.

IP-адреса основного и резервного каналов HA не должны перекрываться.

Резервные каналы HA должны быть настроены в подсети, отличной от подсети основных каналов HA.

Резервные порты HA1 и резервные порты HA2 должны быть настроены на отдельных физических портах.

Межсетевые экраны серии PA-3200 не поддерживают IPv6-адрес для резервного канала HA1. Необходимо использовать IPv4-адрес.

И так приступим к делу))

Вот наша скромная топология, в котором нужно задать интерфейсы как HA network->interfaces

Дальше переходим в device->high availability

A screenshot of a computer AI-generated content may be incorrect.

Настраиваем Peer IP адреса нашего соседнего фаервола, также включаем Preemption и Heartbeat Backup. Хочу отметить, что при использовании Management порта Heartbeat Backup использовать не рекомендуется, т.к. это может привести к split-brain, когда оба фаервола думают, что они главные из-за включенного Preemption. Также активному фаерволу устанавливаем приоритет 90, чтобы он всегда оставался главным. Дальше переходим к другой вкладке, где будем настраивать IP адреса.

Как видем мы может тут юзать интерфейс management.

Transport udp, ip, ethernet. Какой в каких случаях выбирать?

· IP — обычное прямое соединение с IP.

· UDP — через сеть (например, routed).

· eth — чистый L2 без IP.

После этих настроек видим, что все успешно реализовано!

Link monitoring

Link monitoring проверяет состояние линков, есть пару вариантов: any и all.
ANY — любой линк, у которого есть IP, а all — любой линк, абсолютно любой.

Также можно тут выбрать какой интерефейс нужен для мониторинга состояния.

PathMonitoring-Это как IPSLAвыбираем сервис либо какой-то опредленный айпи адресс, на который будет посылаться пинг.

используются для оперативного отключения локального firewall от работы в HA, чтобы временно перевести его в пассивное состояние без отключения питания или полной остановки.

Active/Active

Вообщем, в Active/Active для каждого фаервола есть свой Virtual Router (VR), поэтому сессии и трафик делятся на основе этого виртуального роутера. Настройки почти такие же, как в Active/Passive: HA1, HA2, Device Priority, Preemption, Link и Path Monitoring, Session Sync. Ну и также добавляется еще один порт, т.к используется два фаервола нужно как то разделять Виртуальный роутер и также сессии. Поэтому создаем еще один HA3 (PacketForwarding)