OSPFv3 邻居不会通过 IPSec 隧道建立

OSPFv3 邻居不会通过 IPSec 隧道建立

10449
Created On 03/27/19 13:39 PM - Last Modified 03/26/21 18:23 PM


Symptom


OSPFv3 邻居不会在帕洛阿尔托网络防火墙之间通过 IPSec 隧道建立。

Environment


  • 帕洛阿尔托网络防火墙之间的 IPSec 隧道。
  • 隧道两端的防火墙都配置为高可用性。
  • OSPFv3配置在隧道接口上。
  • IPv6 在隧道接口上启用,接口 ID 使用默认值 EUI-64 。

Cause


邻居不形成,因为 firewall 接收你好包来自它自己的ipv6地址。

在路由.logs 中会看到以下错误
OSPF :4097 i/f idx 0X00000104 inst ID 0 接收你好数据包,因为它来自本地路由器。
支持诊断信息:
源 IP 地址 = FE80:21B:17FF:FE00:104

当 HA 在 a 上启用时 firewall , MAC 地址将更改为虚拟 mac 地址,由 HA 组 ID 和界面组成 ID 。 隧道接口将有接口 ID 4,所以如果 HA ID 两对防火墙上的组是相同的,那么隧道接口的Mac地址也将是相同的 firewall 每个。

IPV6 接口 ID 将从物理接口的 mac 地址生成。 由于隧道接口的 mac 地址两端相同,IPV6 地址也将相同,因此 OSPF 无法建立。

Resolution


为隧道接口分配一个独特的 IPv6 ID 接口。

Additional Information


HOW TO CALCULATE A VIRTUAL MAC ADDRESS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boSeCAI&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language