OSPF graziöser Neustart funktioniert nicht wie erwartet während der hohen Verfügbarkeit Failover
Symptom
Diagnose
In einer aktiven/passiven Umgebung, wenn Kunden OSPF-Protokoll verwenden, mit der anmutigen Neustart-Funktion aktiviert, während der hIGH-Verfügbarkeit Failover der OSPF gRadige Neustart leitet OSPF Nachbarn, um weiterhin Routen durch ein Gerät während einer kurzer Übergang, wenn er außer Betrieb ist. Dies erhöht die Netzstabilität, indem die Häufigkeit der Neukonfiguration des Routing-Tisches und die damit verbundene Route-Schlag reduziert werden, die in kurzen periodischen Ausfallzeiten auftreten kann.
Wie graziös Neustart funktioniert
Wenn die Firewall für eine kurze Zeit herunter ist oder für kurze Intervalle nicht verfügbar ist, sendet Sie Grace lsas (LSA Type 9) an Ihre OSPF-Nachbarn. UPon, der die Gnade lsas empfängt, leitet der Nachbar weiterhin Routen durch die Firewall weiter und schickt lsas, die Routen durch die Firewall ankündigen. Wenn die Firewall den Betrieb wieder aufnimmt oder das passive Gerät den Zustand vor Ablauf der Schonfrist oder die Maximale Neustartzeit des Nachbarn zum aktiven ändert , wird die Verkehrs Weiterleitung wie bisher ohne Netzstörung fortgesetzt. Wenn die Firewall den Betrieb nicht wieder aufnimmt oder es ein Problem in HA Failover gibt, nachdem die Schonfrist abgelaufen ist oder die Maximale Neustartzeit des Nachbarn abgelaufen ist, werden die Nachbarn den Helfer Modus verlassen und den normalen Betrieb wieder aufnehmen, der die Routing-Tabelle neu konfigurieren, um die Firewall zu umgehen.
Hier ist ein musterpaket Capture:
Manchmal, auch wenn OSPF graziösen Neustart auf den Palo Alto Networks-Geräten konfiguriert ist, während der ha Failover, bemerken nutzerverkehrs Störungen aufgrund der Route nicht zur Verfügung, um den Verkehr weiterzuführen.
Resolution
OSPF Nachbarn müssen mit Grace Neustart Helfer konfiguriert werden. Wenn der anmutige Helfer nicht auf den benachbarten Geräten konfiguriert ist, wird er die Gnade LSA ablehnen und er wird nicht verarbeitet.
Um OSPF anmutige Neustart-Arbeit zu haben, aktivieren Sie einen anmutigen Neustart und einen anmutigen Helfer Modus auf lokalen und benachbarten Geräten.
Bitte folgen Sie den folgenden Schritten, um einen anmutigen Neustart zu konfigurieren.
Aus der GUI:
- Ins Netz gehen.
- Wählen Sie den passenden virtuellen Router aus.
- OSPF aktivieren.
- Wählen Sie Advanced und aktivieren Sie den "graziösen Neustart" und übertragen Sie die Änderungen.
Von der CLI:
Diesen Befehl ausführen:
admin @ PA-Firewall > configure
Eingabe der Konfigurationsmodus
[Bearbeiten]
admin @ PA-Firewall# Set-Netzwerk virtuell-Router-Standardprotokoll OSPF graziös-Neustart aktivieren ja
admin @ PA-Firewall# Commit
Wenn der anmutige Helfer Modus konfiguriert ist, Wenn der OSPF- Nachbar für eine kurze Zeit herunterkommt oder für kurze Intervalle nicht verfügbar ist, sendet der OSPF-Nachbar eine anmutige LSA an die Firewall. Nach Erhalt der anmutigen LSA-Firewall betritt der Helfer-Modus und unterhält OSPF vollen Zustand mit dem Nachbarn,bis die Schonfrist oder die Maximale Neustart-Zeit des Nachbarn abläuft.
Bitte folgen Sie den folgenden Schritten, um den graziösen Helfer Modus zu konfigurieren.
Aus der GUI:
- Ins Netz gehen.
- Wählen Sie den passenden virtuellen Router aus.
- OSPF aktivieren.
- Wählen Sie Advanced und "Helper-Modus aktivieren".
Von der CLI:
admin @ PA-Firewall > configure
Eingabe der Konfigurationsmodus
[Bearbeiten]
admin @ PA-Firewall # Set-Netzwerk virtuell-Router-Standardprotokoll OSPF graziös-Neustart-Helfer-aktivieren Sie ja
admin @ PA-Firewall# Commit