Hochverfügbarkeits-Timer (HA-Timer) erleichtern es einer Firewall, einen Firewall-Ausfall zu erkennen und einen Failover auszulösen. Um die Komplexität bei der Konfiguration von HA-Timern zu reduzieren, können Sie aus drei Profilen wählen: Empfohlen, Aggressiv und Erweitert. Diese Profile füllen automatisch die optimalen HA-Timer-Werte für die jeweilige Firewall-Plattform aus, um eine schnellere HA-Bereitstellung zu ermöglichen.
Verwenden Sie das Profil Empfohlen für typische Failover-Timer-Einstellungen und das Profil Aggressiv für schnellere Failover-Timer-Einstellungen. Mit dem Profil Erweitert können Sie die Timer-Werte an die Anforderungen Ihres Netzwerks anpassen.
Die folgende Tabelle beschreibt jeden in den Profilen enthaltenen Timer und die aktuellen voreingestellten Werte (Empfohlen/Aggressiv) für die verschiedenen Hardwaremodelle; diese Werte dienen nur als aktuelle Referenz und können sich in einer späteren Version ändern.
| TIMERS | BESCHREIBUNG | PA-7000 SERIES PA-5200 SERIES PA-5000 SERIES PA-3000 SERIES VM-SERIES | PA-800 SERIES PA-500 PA-220 PA-200 | PANORAMA VIRTUAL APPLIANCE PANORAMA M-SERIES |
|---|---|---|---|---|
| Monitor-Ausfall-Haltezeit (ms) | Intervall, in dem die Firewall nach einem Ausfall des Pfad- oder Link-Monitors aktiv bleibt. Diese Einstellung wird empfohlen, um einen HA-Failover aufgrund von gelegentlichen Flaps benachbarter Geräte zu vermeiden. | 0/0 | 0/0 | 0/0 |
| Preemption Haltezeit (min) | Zeit, die eine passive oder aktiv-sekundäre Firewall wartet, bevor sie als aktive oder aktiv-primäre Firewall übernimmt | 1/1 | 1/1 | 1/1 |
| Heartbeat-Intervall (ms) | Häufigkeit, mit der die HA-Peers Heartbeat-Meldungen in Form eines ICMP (ping) austauschen. | 1000/1000 2000/1000 (only for VM-Series in AWS) | 2000/1000 | 2000/1000 |
| Promotion-Haltezeit (ms) | Zeit, die die passive Firewall (im Modus „Aktiv/Passiv“) oder die aktiv-sekundäre Firewall (im Modus „Aktiv/Aktiv“) wartet, bevor sie nach dem Verlust der Kommunikation mit dem HA-Peer die Rolle der aktiven oder aktiv-primären Firewall übernimmt. Diese Haltezeit beginnt erst, nachdem die Peer-Ausfallmeldungen erfolgt ist. | 2000/500 | 2000/500 | 2000/500 |
| Additional Master Hold Up Time (ms) | Zeitintervall, das auf dasselbe Ereignis wie die Monitor Fail Hold Up Time angewendet wird (Bereich 0-60000ms, Standardwert 500ms). Das zusätzliche Zeitintervall wird nur auf die aktive Firewall im Modus „Aktiv/Passiv“ und auf die aktiv-primäre Firewall im Modus „Aktiv/Aktiv“ angewendet. Dieser Zeitgeber wird empfohlen, um einen Failover zu vermeiden, wenn bei beiden Firewalls gleichzeitig derselbe Link-/Pfadmonitorausfall auftritt. | 500/500 | 500/500 | 7000/5000 |
| Hello-Intervall (ms) | Intervall in Millisekunden zwischen Hello-Paketen, die gesendet werden, um zu überprüfen, ob die HA-Funktionalität auf der anderen Firewall betriebsbereit ist. Der Bereich beträgt 8000-60000ms mit einem Standardwert von 8000ms für alle Plattformen. | 8000/8000 | 8000/8000 | 8000/8000 |
| Maximale Anzahl von Flaps | Ein Flap wird gezählt, wenn einer der folgenden Fälle eintritt:
Im Falle einer fehlgeschlagenen Preemption oder einer nicht funktionsfähigen Schleife gibt dieser Wert die maximale Anzahl von Flaps an, die zulässig sind, bevor die Firewall ausgesetzt wird (Bereich 0-16; Standardwert 3). | 3/3 | 3/3 | Not Applicable |
