OSPFv3 voisins ne s’établissent pas sur les tunnels IPSec
Symptom
OSPFv3 voisins ne s’établissent pas sur les tunnels IPSec entre les pare-feu Palo Alto Networks.
Environment
- Tunnels IPSec entre les pare-feu Palo Alto Networks.
- Les pare-feu aux deux extrémités du tunnel sont configurés pour une grande disponibilité.
- OSPFv3 configuré sur les interfaces tunnel.
- IPv6 est activé sur les interfaces tunnel et l’interface ID utilise la valeur par défaut EUI-64 .
Cause
Les voisins ne se forment pas firewall parce que le reçoit un paquet bonjour provenant de sa propre adresse ipv6.
Les erreurs suivantes seraient vues dans les routed.logs:
OSPF 4097 i/f idx 0X00000104 inst ID 0 Reçu Bonjour paquet tombé parce qu’il provenait du routeur local.
Informations diagnostiques à l’appui :
Adresse source IP = FE80::21B:17FF:FE00:104 Lorsqu’elles
HA sont activées sur un , les adresses sont firewall MAC changées en adresses mac virtuelles et sont composées du HA groupe et de ID l’interface. ID Interfaces tunnel aura interface ID 4 donc si le groupe HA est le même sur les deux ID paires de pare-feu, puis les adresses mac pour les interfaces tunnel sera également le même sur chacun firewall .
L’interface IPV6 ID sera générée à partir de l’adresse mac de l’interface physique. Étant donné que l’adresse mac de l’interface tunnel est la même aux deux extrémités, l’adresse IPV6 sera également la même et la cause de OSPF ne pas établir.
Resolution
Assignez une interface IPv6 unique ID pour les interfaces tunnel.