ARP Einträge sind "unvollständig", wenn PA-VM sie von Openstack neu gestartet werden KVM
17676
Created On 07/12/20 22:20 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM-Die Serie wird auf Openstack KVM Red Hat Enterprise Linux Server bereitgestellt.
- Wenn VM die Instanz vom Befehl "Host ausgeführt" angehalten/gestartet KVM wird, werden Die Einträge auf ARP "unvollständig" festgelegt.
# nova stop [--all-tenants] <server> [<server> ...] # nova start [--all-tenants] <server> [<server> ...]
- Pakete werden auf der firewall abgelegt.
- Das Problem gilt sowohl für das Paket als auch für den MMAP DPDK Modus.
- Beim Neustart von oder wird kein Datenverkehr sintaucht. PA-VM PAN-OS CLI GUI
Protokolle:
> show arp all interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/2 10.64.0.11 (incomplete) ethernet1/2 i 1 Global counters: Elapsed time since last sampling: 656.227 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_sent_err_drop 8 0 error packet pktproc Packet send error drop flow_fwd_l3_noarp 1 0 drop flow forward Packets dropped: no ARP flow_host_decap_err 14 0 drop flow mgmt Packets dropped: decapsulation error from control plane # lsb_release -a LSB Version: :core-4.1-amd64:core-4.1-noarch Distributor ID: RedHatEnterpriseServer Description: Red Hat Enterprise Linux Server release 7.7 (Maipo) Release: 7.7 Codename: Maipo
Environment
- Plattform: VM- Serie auf Openstack Red Hat Enterprise Linux KVM Server
- PAN-OS / Plugin-Version: Beeine
- Bereitstellung: Vorhanden
Cause
Wenn Sie KVM CLI Openstack-Befehle ausführen, "nova stop" und "nova start":
- Der Neustart des PA-VM KVM vom Host belässt die virtuelle SR-IOV PCI Express-Funktion (PCIe) VF in einem ungewöhnlichen Zustand und kann den Broadcast-Datenverkehr von der PCIe Physical Function ( PF ) nicht an die firewall übergeben.
- Dies schlägt bei ARP der Auflösung von firewall Paketverlusten fehl.
- Beim Ausführen NOVA von Stop setzt der Open-Stack die konfigurierten Filter auf den Schnittstellen auf der MAC-VLAN VF PF zurück. Daher muss es die VLAN auf den Schnittstellen nach einem Start VF NOVA einstellen, um die Filter MAC-VLAN einzustellen.
- Dies ist ein PCIe Physical Function ( PF ) IXGBE Treiberproblem.
- Aus der Perspektive des Gastes OS kann der Filter auf dem Host nicht geändert PA-VM VLAN werden.
Resolution
- Reboot VM- Series mit dem Befehl PAN-OS CLI "> Request Restart System" oder unter GUI "Device > Setup > Operations" Tab.
- Oder konfigurieren Sie VLAN die Schnittstellen nach dem Stopp und starten Sie den Befehl jedes Mal VF NOVA neu.