ARP Les entrées sont « incomplètes » PA-VM lorsqu’elles sont redémarrées à partir d’Openstack KVM
17720
Created On 07/12/20 22:20 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM-La série est déployée sur Openstack KVM Red Hat Enterprise Linux Server.
- Lorsque VM l’instance est arrêtée/démarrée à partir KVM de la commande d’exécution de l’hôte ci-dessous, les ARP entrées sont définies comme « incomplètes »
# nova stop [--all-tenants] <server> [<server> ...] # nova start [--all-tenants] <server> [<server> ...]
- Les paquets sont déposés sur le firewall .
- Le problème s’applique à la fois au MMAP paquet et DPDK au mode.
- Aucune baisse de trafic remarquée lors du PA-VM redémarrage à partir PAN-OS CLI ou GUI .
Journaux:
> show arp all interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/2 10.64.0.11 (incomplete) ethernet1/2 i 1 Global counters: Elapsed time since last sampling: 656.227 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_sent_err_drop 8 0 error packet pktproc Packet send error drop flow_fwd_l3_noarp 1 0 drop flow forward Packets dropped: no ARP flow_host_decap_err 14 0 drop flow mgmt Packets dropped: decapsulation error from control plane # lsb_release -a LSB Version: :core-4.1-amd64:core-4.1-noarch Distributor ID: RedHatEnterpriseServer Description: Red Hat Enterprise Linux Server release 7.7 (Maipo) Release: 7.7 Codename: Maipo
Environment
- VM-Plate-forme: Série sur Openstack KVM Red Hat Enterprise Linux Server
- PAN-OS / Plugin Version: Tout
- Déploiement : Existant
Cause
Lors de l’exécution des commandes Openstack, KVM CLI « nova stop » et « nova start »:
- Redémarrage de PA-VM KVM l’hôte quitte SR-IOV PCI l’Express (PCIe) Virtual Function ( ) dans un état anormal et VF incapable de passer le trafic de diffusion de la fonction physique PCIe ( PF ) à la firewall .
- Cela ne parvient pas ARP à résoudre sur la cause des firewall gouttes de paquet.
- Lors de NOVA l’arrêt en cours d’exécution, la pile ouverte réinitialise les MAC-VLAN filtres configurés VF sur les interfaces sur le PF . Il doit donc régler les VLAN VF interfaces après un NOVA démarrage afin de régler les MAC-VLAN filtres.
- Il s’agit d’un pcie fonction physique ( PF ) IXGBE problème de pilote.
- Du point de vue OS de PA-VM l’invité, ne sera pas en mesure de modifier le VLAN filtre sur l’hôte.
Resolution
- Redémarrage VM- de la série à PAN-OS CLI l’aide de la commande « > de redémarrage de la GUI demande » ou sous l’onglet « > configuration > opérations d’exploitation ».
- Ou reconfigurez les VLAN VF interfaces après l’arrêt NOVA et démarrez la commande à chaque fois.