ARP Las entradas están "incompletas" cuando PA-VM se reinician desde Openstack KVM

ARP Las entradas están "incompletas" cuando PA-VM se reinician desde Openstack KVM

17676
Created On 07/12/20 22:20 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • VM-La serie se implementa en Openstack KVM Red Hat Enterprise Linux Server.
  • Cuando VM la instancia se detiene/se inicia desde el comando ejecutar host a KVM continuación, provoca que las entradas se ARP establezcan en "incompletas"
# nova stop [--all-tenants] <server> [<server> ...]
# nova start [--all-tenants] <server> [<server> ...]​​​​
  • Los paquetes se caen en el firewall archivo .
  • El problema se aplica tanto al paquete como al MMAP DPDK modo.
  • No se notan caídas de tráfico cuando PA-VM se reinicia desde o PAN-OS CLI GUI .
Registros:
> show arp all
interface         ip address      hw address        port              status   ttl
--------------------------------------------------------------------------------
ethernet1/2       10.64.0.11      (incomplete)      ethernet1/2         i      1

Global counters:
Elapsed time since last sampling: 656.227 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_sent_err_drop 8 0 error packet pktproc Packet send error drop
flow_fwd_l3_noarp 1 0 drop flow forward Packets dropped: no ARP
flow_host_decap_err 14 0 drop flow mgmt Packets dropped: decapsulation error from control plane​​​​​​

# lsb_release -a
LSB Version:    :core-4.1-amd64:core-4.1-noarch
Distributor ID: RedHatEnterpriseServer
Description:    Red Hat Enterprise Linux Server release 7.7 (Maipo)
Release:        7.7
Codename:       Maipo
 

 

Environment


  • Plataforma: VM- Serie en Openstack KVM Red Hat Enterprise Linux Server
  • PAN-OS / Versión del plugin: Cualquier
  • Implementación: Existente

Cause


Al ejecutar comandos de Openstack, KVM CLI "nova stop" y "nova start":
  • El reinicio del PA-VM host está dejando la función virtual Express KVM SR-IOV PCI (PCIe) ( VF ) en un estado anormal y no puede pasar el tráfico de difusión de la función física PCIe ( PF ) al archivo firewall .
  • Esto falla ARP la resolución al causar firewall caídas de paquetes.
  • Al ejecutar NOVA stop, la pila abierta restablece los filtros configurados MAC-VLAN en las interfaces en el archivo VF PF . Así que necesita fijar el VLAN en las interfaces después de un inicio para fijar los VF NOVA MAC-VLAN filtros.
  • Este es un problema del controlador PCIe Physical Function ( PF ). IXGBE
  • Desde la OS perspectiva invitado, PA-VM no podrá modificar el filtro en el VLAN host.

Resolution


  1. Reinicie VM- la serie mediante el comando PAN-OS CLI "> sistema de reinicio de solicitudes" o en la pestaña GUI "Configuración > dispositivo > operaciones".
  2. O vuelva a configurar VLAN en las interfaces después del comando stop and start cada VF NOVA vez.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UnhCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language