Vecinos de OSPFv3 no establecen sobre túneles IPSec
Symptom
Los vecinos OSPFv3 no establecen sobre los túneles IPSec entre firewalls de Palo Alto Networks.
Environment
- Túneles IPSec entre firewalls de Palo Alto Networks.
- Los firewalls en ambos extremos del túnel están configurados para una alta disponibilidad.
- OSPFv3 configurado en las interfaces del túnel.
- IPv6 se habilita en las interfaces de túnel y la interfaz ID utiliza el valor predeterminado EUI-64 .
Cause
Los vecinos no forman porque el firewall recibe un paquete de saludo originado de su propia dirección ipv6.
Los siguientes errores se verían en el routed.logs:
OSPF 4097 i/f idx 0X00000104 ID inst 0 received hello packet cayó porque se originó del router local.
Información de diagnóstico para el soporte:
Dirección de origen = IP FE80::21B:17FF:FE00:104
Cuando HA está habilitado en a , las direcciones se cambian a direcciones mac virtuales y se componen firewall del grupo y la MAC HA ID ID interfaz. Las interfaces del túnel tendrán la interfaz ID 4 así que si el HA grupo es el mismo en ambos pares de ID firewalls entonces las direcciones mac para las interfaces del túnel también serán las mismas en cada firewall uno.
La interfaz IPV6 ID se generará a partir de la dirección mac de la interfaz física. Porque la dirección mac de la interfaz del túnel es lo mismo en ambos extremos, la dirección IPV6 también será igual y hará que OSPF no se establezca.
Resolution
Asigne una interfaz IPv6 única ID para las interfaces de túnel.