升级 IP 到8.1.11或9.0.5及以上版本后,浮动路线不会重新分配
12750
Created On 01/31/20 19:45 PM - Last Modified 03/26/21 18:05 PM
Symptom
- 升级 PAN-OS 到版本 8.1.11/9.0.5 或更高版本后,客户将失去与虚拟地址相关的重新分配路线 IP 。
- 客户具有 PA-5220 启用多Vys的活动模式。
- 在 PAN-OS 8.1.11 之前,浮动 IP 地址以静态路由显示在路由表中,在
PAN-OS 8.1.11 中,浮动 IP 地址显示为主机路由。 - 客户有一个重新分配配置文件,已调用在 OSPF 。
- 再分配配置文件包含作为静态路由的筛选器。
- 在 PAN-OS 8.1.10 中,路线得到正确重新分配。
- 但升级后,由于主机路线无法重新分配,因此路线将在出口规则中单独重新分配。
- 客户在不同版本中具有多个防火墙 PAN-OS ,在这些防火墙中,他能够重新分配浮动 IP 为静态路由。
- 所有平台上都观察到该行为。
Environment
- PA-5220 (但也存在于其他平台中)
- PAN-OS 8.1.11
- HA A/A
- 多- VSYS 超过 200 + vsys 的建立
- 虚拟 IP 被重新分配
Resolution
这是预期的行为,因为在第 PAN-OS 8.1.11 v.11 中发现,在 VSYS 具有浮动地址的大量实例时,提交失败 IP 。
修复方法是将浮动地址的再分配 IP 从静态路由配置修改为主机路由再分配。
PAN-OSv 8.1.10 及旧版本的再分配输出示例:
Interface info
================
> show high-availability virtual-address
Total interfaces with virtual address configured: 1
Total virtual addresses configured: 1
--------------------------------------------------------------------------------
Interface: loopback.1 Virtual MAC: b4:0c:25:ea:40:03
Virtual MAC from the peer: b4:0c:25:fa:40:03 192.168.20.1 Active:yes Type:floating Pri-Bind:no
Route info
=========
>show routing route
192.168.20.1/32 0.0.0.0 0 A SPAN-OSv 8.1.11 和较新的再分配输出示例:
Interface info
================
> show high-availability virtual-address
Total interfaces with virtual address configured: 1
Total virtual addresses configured: 1
--------------------------------------------------------------------------------
Interface: loopback.1
Virtual MAC: b4:0c:25:ea:40:03
Virtual MAC from the peer: b4:0c:25:fa:40:03
192.168.20.1 Active:yes Type:floating Pri-Bind:no
Route info
=========
>show routing route
192.168.20.1/32 0.0.0.0 0 A H