Nicht in der Lage, Sub-Sekunde-Failover-Zeiten mit BGP für aktiv-passive Konfiguration zu erreichen

Nicht in der Lage, Sub-Sekunde-Failover-Zeiten mit BGP für aktiv-passive Konfiguration zu erreichen

63634
Created On 09/26/18 13:51 PM - Last Modified 06/02/22 18:40 PM


Resolution


Problem

BGP wird nicht sofort mit dem Peer etabliert, wenn der Palo Alto Networks hoch Verfügbarkeits Cluster (ha) vom aktiven zum passiven Gerät ausfällt.

Es wird erwartet, dass der Failover, wenn er vom aktiven zum passiven Gerät ausfällt, nahtlos sein sollte und keine Verkehrs Rückgänge hat. Doch beim Ausfall des Clusters geht die BGP-Verbindung auf dem aktiven Gerät zurück und das neue aktive Gerät stellt die BGP-Konnektivität mit dem Peer her. Ist der Peering mit dem bisherigen aktiven Gerät verloren gegangen, werben der Nachbar (Peer) und das neue aktive Gerät für die BGP-Strecken untereinander. Während der Zeit, in der der Peer und das neue aktive Gerät eine etablierte BGP-Verbindung haben, gibt es einen Ausfall und der Verkehr wird fallen gelassen, weil die Routen noch nicht auf der Routing-Tabelle existieren.

Ursache

  • Der anmutige Neustart wurde sowohl auf den Firewalls des Clusters als auch auf dem Peer nicht konfiguriert.
  • Routen wurden nicht auf die Cluster-Mitglieder synchronisiert

Lösung

Überprüfen Sie, ob die beiden Mitglieder der Cluster den anmutigen Neustart konfiguriert haben. Anmutiger Neustart auf dem Palo Alto Networks Gerät ist unter:

Netzwerk > virtuelle Router > BGP > Advanced > graziöser Neustart

Anmutig. Jpg. jpg

Aktivieren Sie das Kästchen "graziöses Neustart" und konfigurieren Sie die Timer entsprechend. Wenn der Router seinen BGP-Prozess neu startet, könnte die TCP-Verbindung zum Peer-Router gelöscht werden. Unter normalen Umständen würde dies dazu führen, dass der Peer-Router alle Routen, die mit dem Neustart-Router verbunden sind, löschen würde. Dies geschieht jedoch nicht bei BGP graziösen Neustart. Stattdessen markiert der Peer-Router alle Routen als "Stale", nutzt sie aber weiterhin, um Pakete zu überführen, die auf der Erwartung beruhen, dass der Neustart-Router die BGP-Session in kurzer Zeit wieder einrichten wird. Ebenso führt der Neustart-Router auch die Weiterleitung von Paketen in der Zwischenzeit fort.

Wenn der Neustart-Router die neue BGP-Session eröffnet, wird er die BGP-Fähigkeit 64 wieder an seine Kollegen senden. Aber dieses Mal werden Flaggen in der anmutigen Neustart-Fähigkeiten-Austausch gesetzt, um den Peer-Router wissen zu lassen, dass der BGP-Prozess wieder aufgenommen wurde.

Vor dem Scheitern überprüfen Sie auch, ob die Routen auf beiden Mitgliedern des Peer mit dem Befehl synchronisiert wurden:

> Routing-FIB anzeigen

Besitzer: Kprakash
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CltgCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language