ARP PA-VM从开放堆栈重新启动时,条目是"不完整的" KVM
17670
Created On 07/12/20 22:20 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM-系列部署在开放式 KVM 红帽企业Linux服务器上。
- 当 VM 实例从 KVM 下面的主机运行命令中停止/启动时,会导致 ARP 条目设置为"不完整"
# nova stop [--all-tenants] <server> [<server> ...] # nova start [--all-tenants] <server> [<server> ...]
- 数据包被丢弃在 firewall 。
- 该问题同时适用于数据包 MMAP 和 DPDK 模式。
- 重新启动时未注意到流量下降 PA-VM PAN-OS CLI 。 GUI
日志:
> show arp all interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/2 10.64.0.11 (incomplete) ethernet1/2 i 1 Global counters: Elapsed time since last sampling: 656.227 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_sent_err_drop 8 0 error packet pktproc Packet send error drop flow_fwd_l3_noarp 1 0 drop flow forward Packets dropped: no ARP flow_host_decap_err 14 0 drop flow mgmt Packets dropped: decapsulation error from control plane # lsb_release -a LSB Version: :core-4.1-amd64:core-4.1-noarch Distributor ID: RedHatEnterpriseServer Description: Red Hat Enterprise Linux Server release 7.7 (Maipo) Release: 7.7 Codename: Maipo
Environment
- 平台: VM- 开放式 KVM 红帽企业Linux服务器系列
- PAN-OS /插件版本:任何
- 部署:现有
Cause
运行开栈命令时 KVM CLI ,"新星停止"和"新星启动":
- PA-VM从 KVM 主机重新启动是离开 SR-IOV PCI 快车 (PCIe) 虚拟功能 VF () 处于异常状态,无法将广播流量从 PCIe 物理功能 PF () 传递到 firewall 。
- 这无法 ARP 解决 firewall 导致数据包掉落的问题。
- 运行 NOVA 停止时,开栈重置了接 MAC-VLAN VF 口上配置的筛选器 PF 。 因此,它需要在 VLAN VF 开始后设置接口 NOVA ,以便设置 MAC-VLAN 筛选器。
- 这是一个PCIE物理功能 PF () IXGBE 驱动程序问题。
- 从客人 OS 的角度来看, PA-VM 将无法修改 VLAN 主机上的过滤器。
Resolution
- VM-使用 PAN-OS CLI 命令">请求重新启动系统"或 GUI "设备>设置>操作"选项卡下重新启动系列。
- 或在停止后重新配置 VLAN VF 接口 NOVA ,每次开始命令。