IP8.1.11 または 9.0.5 以降のバージョンにアップグレードした後、フローティング ルートが再配布されない
12754
Created On 01/31/20 19:45 PM - Last Modified 03/26/21 18:05 PM
Symptom
- PAN-OSバージョン 8.1.11/ 9.0.5 以降にアップグレードした後、仮想アドレスに関連する再配布ルートが失われます IP 。
- お客様は、 PA-5220 マルチVsysが有効になっているアクティブなアクティブモードになっています。
- PAN-OS8.1.11 より前のフローティング IP アドレスは、ルーティング テーブルにスタティック ルートとして表示され
PAN-OS 、8.1.11 ではフローティング IP ルートがホスト ルートとして表示されます。 - 顧客は、 で呼び出された再配布プロファイルを持っています OSPF 。
- 再配布プロファイルには、静的ルートとしてのフィルターが含まれています。
- PAN-OS8.1.10 では、ルートが正しく再配布されていました。
- ただし、アップグレード後は、ホスト ルートを再配布できないため、ルートはエクスポート ルールで個別に再配布されます。
- 顧客は、異なるバージョンに複数 PAN-OS のファイアウォールを持っており、静的ルートとしてフローティングを再配布することができます IP 。
- 動作はすべてのプラットフォームで観察されます。
Environment
- PA-5220 (ただし、他のプラットフォームにも存在します)
- PAN-OS 8.1.11
- HA A/A
- VSYS200以上のvsys'を超えるマルチ-を確立
- 仮想 IP が再配布される
Resolution
これは、 PAN-OS VSYS フローティング アドレスを持つインスタンスの数が多い場合にコミットが失敗する v.8.1.11 で見つかった機能拡張により、予期される動作です IP 。
修正は、 IP 静的ルート構成からホストルーティング再配布へのフローティング アドレスの再配布を変更することです。
v 8.1.10 以前のバージョンでの再配布出力の例 PAN-OS :
Interface info
================
> show high-availability virtual-address
Total interfaces with virtual address configured: 1
Total virtual addresses configured: 1
--------------------------------------------------------------------------------
Interface: loopback.1 Virtual MAC: b4:0c:25:ea:40:03
Virtual MAC from the peer: b4:0c:25:fa:40:03 192.168.20.1 Active:yes Type:floating Pri-Bind:no
Route info
=========
>show routing route
192.168.20.1/32 0.0.0.0 0 A SPAN-OSv 8.1.11 以降の再配布出力の例:
Interface info
================
> show high-availability virtual-address
Total interfaces with virtual address configured: 1
Total virtual addresses configured: 1
--------------------------------------------------------------------------------
Interface: loopback.1
Virtual MAC: b4:0c:25:ea:40:03
Virtual MAC from the peer: b4:0c:25:fa:40:03
192.168.20.1 Active:yes Type:floating Pri-Bind:no
Route info
=========
>show routing route
192.168.20.1/32 0.0.0.0 0 A H