OSPF graziöser Helfer-Modus wegen Topologie-Wechsel ausgefallen

OSPF graziöser Helfer-Modus wegen Topologie-Wechsel ausgefallen

16193
Created On 09/25/18 17:15 PM - Last Modified 06/12/23 22:26 PM


Symptom


Symptome

Auch wenn Palo Alto Networks Firewall im OSPF-graziösen Helfer-Modus konfiguriert ist, wenn der OSPF-Nachbar für eine kurze Zeit herunterkommt oder für kurze Intervalle nicht verfügbar ist, wird die Firewall aus dem Helfer-Modus aussteigen und den normalen Betrieb mit einem Fehler im System Protokoll: "anmutiger Helfer Modus, der durch Topologie-Wechsel ausgefallen ist".

Diagnose

Wenn ein OSPF- Nachbar für kurze Zeit herunterkommt oder für kurze Intervalle nicht verfügbar ist, sendet er Grace lsas (LSA Type 9). Nach demEmpfang von Grace lsas, die Firewall weiterhin die OSPF adjency in vollem Zustand. In einigen Fällen wird die Firewall jedoch, obwohl Sie im OSPF-anmutigen Helfer-Modus konfiguriert ist, die anmutige LSA ablegen, aus dem Helfer-Modus aussteigen und normale Operationen wieder aufnehmen.

 

Es gibt viele Häufige Gründe, warum die Firewall aus dem OSPF-Helfer-Modus Austritt, aber der häufigste Grund ist, wenn es eine Topologie-Änderung gibt.

Resolution


 

In bestimmten Netzwerk Entwürfen können Sie die Veränderung der Netztopologie während des Failover-Ereignisses sicher ignorieren, je nachdem, wie der Netzwerkverkehr abläuft. Klappen auf ausverkauften Schnittstellen beeinträchtigen zum Beispiel nicht den Netzwerkverkehr, der durch das gescheiterte Gerät fließt.  In diesem Szenario können wir also verhindern, dass die Firewall aus dem OSPF-graziösen Helfer Modus Austritt.

 

Um zu verhindern, dass die Firewall aufgrund einer Topologie-Änderung aus dem OSPF-graziösen Helfer Modus Austritt , müssen wir die "strikte LSA-Prüfung"-Funktion aus den OSPF-erweiterten Einstellungen deaktivieren.

 

Folgen Sie den folgenden Schritten, um die "strikte LSA-Prüfung" zu deaktivieren.

 

Bewährten Praktiken

Werfen Sie einen genauen Blick auf die Auswirkungen der Topologie-Veränderung in Ihrem Netzwerk-Design, bevor Sie diese Änderung vornehmen, weil unangemessene Änderungen zu inkonsistenten OSPF-Routing führen. 

 

Aus der GUI

  1. Gehen Sie zu Netzwerk > virtuelle Router.
  2. Wählen Sie den passenden virtuellen Router > OSPF > Advanced > deaktivieren Sie "strikte LSA-Prüfung".
  3. Übernehmen Sie die Änderungen.

 

Strict_LSA. png

 

Von der CLI:

Firewall > konfigurieren

Eingabe der Konfigurationsmodus

[Bearbeiten]

Firewall # Set-Netzwerk virtuell-Router-Standardprotokoll OSPF graziös-Neustart streng-LSA-Check No

Firewall # Commit
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClECCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language