OSPFv3-Nachbarn werden nicht über IPSec-Tunnel erstellt
Symptom
OSPFv3-Nachbarn stellen keine IPSec-Tunnel zwischen Palo Alto Networks-Firewalls auf.
Environment
- IPSec-Tunnel zwischen Palo Alto Networks Firewalls.
- Firewalls an beiden Enden des Tunnels sind für hohe Verfügbarkeit konfiguriert.
- OSPFv3 für Tunnelschnittstellen konfiguriert.
- IPv6 ist für Tunnelschnittstellen aktiviert, und die Schnittstelle ID verwendet die EUI-64 Standardschnittstelle .
Cause
Die Nachbarn bilden sich nicht, da das firewall ein Hallo-Paket empfängt, das von seiner eigenen ipv6-Adresse stammt.
Die folgenden Fehler würden in den routed.logs angezeigt werden:
OSPF 4097 i/f idx 0X00000104 inst ID 0 Received Hello-Paket verworfen, weil es vom lokalen Router stammt.
Diagnoseinformationen für die Unterstützung:
IP Quelladresse = FE80::21B:17FF:FE00:104
Wenn HA auf einem aktiviert firewall ist, werden die Adressen in virtuelle MAC Mac-Adressen geändert und bestehen aus der HA Gruppe und der Schnittstelle ID ID . Tunnelschnittstellen haben Schnittstelle ID 4, wenn die HA Gruppe auf ID beiden Firewall-Paaren gleich ist, dann sind die Mac-Adressen für die Tunnelschnittstellen auch auf jedem firewall identisch.
Die IPV6-Schnittstelle ID wird von der Mac-Adresse der physischen Schnittstelle generiert. Da die Mac-Adresse der Tunnelschnittstelle an beiden Enden gleich ist, ist auch die IPV6-Adresse identisch und führt OSPF dazu, dass sie nicht erstellt wird.
Resolution
Weisen Sie eine eindeutige IPv6-Schnittstelle ID für die Tunnelschnittstellen zu.