Las IP rutas flotantes no se redistribuyen después de actualizar a la versión 8.1.11 o 9.0.5 y superior

Las IP rutas flotantes no se redistribuyen después de actualizar a la versión 8.1.11 o 9.0.5 y superior

12760
Created On 01/31/20 19:45 PM - Last Modified 03/26/21 18:05 PM


Symptom


  • Después de actualizar PAN-OS a la versión 8.1.11/ 9.0.5 o superior, el cliente pierde rutas redistribucionadas relacionadas con la IP dirección virtual.
  • El cliente tiene un PA-5220 modo activo activo con Multi-Vsys habilitado.
  • Antes de PAN-OS la 8.1.11 las IP direcciones flotantes aparecen en la tabla de ruteo como static route y en la
    PAN-OS 8.1.11 la ruta flotante IP aparece como la ruta del host.
  • El cliente tiene un perfil de redistribución que se ha llamado en el OSPF .
  • El perfil de redistribución contiene el filtro como static route.
  • En PAN-OS 8.1.10 las rutas se redistribuían correctamente.
  • Pero después de la actualización, las rutas se redistribuyen por separado en la regla de exportación porque las rutas del host no se pueden redistribuir.
  • El cliente tiene varios firewalls en diferentes PAN-OS versiones en las que es capaz de redistribuir flotando como la ruta IP estática.
  • El comportamiento se observa en todas las plataformas.
     

Environment


  • PA-5220 (pero presente en otras plataformas también)
  • PAN-OS 8.1.11
  • HA A/A
  • Multi- VSYS con más de 200 vsys' establecidos
  • Virtual IP se redistribuye

Resolution


Este es el comportamiento esperado debido a una mejora que se encuentra en PAN-OS v.8.1.11 donde las confirmaciones están fallando con un alto número de VSYS instancias con direcciones IP flotantes.

La corrección es modificar la redistribución de IP direcciones flotantes de la configuración de la static route a la redistribución del host-routed.  

Ejemplo de salida de redistribución en PAN-OS v 8.1.10 y versiones anteriores:
Interface info 
================
> show high-availability virtual-address

Total interfaces with virtual address configured:   1
Total virtual addresses configured:                 1
--------------------------------------------------------------------------------
Interface: loopback.1  Virtual MAC:               b4:0c:25:ea:40:03  
Virtual MAC from the peer: b4:0c:25:fa:40:03  192.168.20.1          Active:yes Type:floating   Pri-Bind:no

Route info 
=========
>show routing route  
192.168.20.1/32                             0.0.0.0                                 0      A S


Ejemplo de salida de redistribución en PAN- OSv 8.1.11 y más nuevo:
 
Interface info
================
> show high-availability virtual-address
Total interfaces with virtual address configured: 1
Total virtual addresses configured: 1
--------------------------------------------------------------------------------
Interface: loopback.1
Virtual MAC: b4:0c:25:ea:40:03
Virtual MAC from the peer: b4:0c:25:fa:40:03
192.168.20.1 Active:yes Type:floating Pri-Bind:no
Route info
=========
>show routing route
192.168.20.1/32 0.0.0.0 0 A H

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POUmCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language