OSPF Routen werden nach einem HA A/P- Ausfall nicht in RIB angezeigt und die Nachbarschaft bleibt im Exstart- Status mit dem Cisco Nexus VPC -Cluster hängen

• OSPF Angrenzung zwischen Palo Alto Networks -Firewalls im Active/Passive- HA Einrichtung und mit L3 HSRP konfigurierten Cisco Nexus-Switches hergestellt.
• Von benachbarten Nexus-Switchen angekündigte OSPF Routen werden auf Active FW-A ordnungsgemäß angezeigt.

FW-A(active)> show routing route
VIRTUAL ROUTER: DR-VR (id 8)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS    
0.0.0.0/0                                   192.168.139.42                          11     A O1       1809717 ethernet1/18.705              
10.19.12.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.13.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.14.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.15.0/25                               192.168.139.42                          58     A Oo       1809717 ethernet1/18.705              
10.19.16.0/25                               192.168.139.42                          54     A Oi       1809717 ethernet1/18.705      

• Läuft auf FW-A (aktiver Knoten) wird DR 192.168.139.42 im Status angezeigt, aber BDR 192.168.139.43 im „Austauschstart“

  virtual router:                DR-VR
  neighbor address:              192.168.139.42
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        full <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.245
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               30
  messages pending:              0
  LSA request pending:           0
  options:                       0x42: O E 
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none
  ==========
  virtual router:                DR-VR
  neighbor address:              192.168.139.43
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        exchange start <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.246
  area id:                       0.0.0.0
lines 1-62
  neighbor priority:             1
  lifetime remain:               39
  messages pending:              0
  LSA request pending:           0
  options:                       0x00
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none

• Wenn ein Ausfall stattfindet und FW-B aktiv wird, werden die OSPF Routen nicht mehr in der Routing-Tabelle angezeigt, obwohl die Routen in Ausgabe.
• Läuft auf FW-B (aktiv nach Ausfall) wird DR 192.168.139.42 beim „Exchange-Start“ hängengeblieben, BDR 192.168.139.43 jedoch im vollständigen Status.

  virtual router:                DR-VR
  neighbor address:              192.168.139.42
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        exchange start <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.245
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               37
  messages pending:              0
  LSA request pending:           0
  options:                       0x00
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none
  ==========
  virtual router:                DR-VR
  neighbor address:              192.168.139.43
  local address binding:         0.0.0.0
  type:                          dynamic
lines 1-59
  status:                        full <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.246
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               32
  messages pending:              0
  LSA request pending:           0
  options:                       0x42: O E 
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none

• In der auf der FW-B durchgeführten Packet Capture (Paketdatenaufzeichnung, PCAP) sind die ICMP-Pakete mit überschrittener Austrittszeit zu sehen, die vom BDR an die FW gesendet wurden.

• Die Untersuchung der Details des TTL Überschreitungspakets im ICMP-Teil zeigt uns, dass das von der Firewall an den DR -Router gesendete OSPF Paket während der Übertragung verloren gegangen ist.

• Dies liefert auch Details über die während der Übertragung verloren gegangene Paket-ID, die im selben PCAP nachverfolgt werden kann.

• Indem wir das PCAP mit dieser Paket-ID filtern, können wir bestätigen, dass das von der Firewall an den DR -Router gesendete OSPF DBD-Paket dasjenige ist, das während der Übertragung verloren gegangen ist.

PAN-OS: Alle

• OSPF verwendet einen TTL Wert von 1 für seine Pakete
• In diesem vPC Einrichtung bewirkt der Port Channel Hashing Algorithm auf dem Cisco L2-Switch, dass die OSPF Pakete von FW-B, die für DR Nexus bestimmt sind, über den BDR Nexus gesendet werden.
• Da diese Pakete den VPC Peer-Link durchlaufen, verringert sich ihr TTL auf 0, wodurch sie gelöscht werden und die Bildung einer OSPF Adjazenz verhindert wird.
• ICMP- TTL Überschreitungsmeldungen werden von BDR generiert und an die FW gesendet.

Durch Aktivieren des Befehls „Layer3 Peer-Router“ auf Nexus-Switches kann der vPC-Peer-Link für das Layer 3 -Routing verwendet werden, sodass OSPF Pakete ohne TTL Verringerung übertragen werden können.

# config t
(config) # vpc domain <domain-ID>
(config-vpc-domain) # layer3 peer-router
(config-vpc-domain) # end