Las rutas OSPF no se reflejan en RIB después de la conmutación por error de A/P de HA y la vecindad se queda atascada en el estado exstart con el clúster Cisco Nexus VPC

• Adyacencia OSPF establecida entre los firewalls de Palo Alto Networks en configuración HA activa/pasiva y los conmutadores Cisco Nexus configurados con L3 HSRP.
• Las rutas OSPF anunciadas desde los conmutadores Nexus vecinos se muestran correctamente en FW-A activo.

FW-A(active)> show routing route
VIRTUAL ROUTER: DR-VR (id 8)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS    
0.0.0.0/0                                   192.168.139.42                          11     A O1       1809717 ethernet1/18.705              
10.19.12.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.13.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.14.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.15.0/25                               192.168.139.42                          58     A Oo       1809717 ethernet1/18.705              
10.19.16.0/25                               192.168.139.42                          54     A Oi       1809717 ethernet1/18.705      

• Correr En FW-A (nodo activo), se mostrará DR 192.168.139.42 en estado completo, pero BDR 192.168.139.43 en "inicio de intercambio"

  virtual router:                DR-VR
  neighbor address:              192.168.139.42
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        full <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.245
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               30
  messages pending:              0
  LSA request pending:           0
  options:                       0x42: O E 
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none
  ==========
  virtual router:                DR-VR
  neighbor address:              192.168.139.43
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        exchange start <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.246
  area id:                       0.0.0.0
lines 1-62
  neighbor priority:             1
  lifetime remain:               39
  messages pending:              0
  LSA request pending:           0
  options:                       0x00
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none

• Si se produce una conmutación por error y FW-B se vuelve activo, las rutas OSPF ya no se muestran en la tabla de enrutamiento, aunque las rutas se muestren en producción.
• Correr en FW-B (activo después de la conmutación por error), se mostrará DR 192.168.139.42 bloqueado en "inicio de intercambio", pero BDR 192.168.139.43 en estado completo.

  virtual router:                DR-VR
  neighbor address:              192.168.139.42
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        exchange start <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.245
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               37
  messages pending:              0
  LSA request pending:           0
  options:                       0x00
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none
  ==========
  virtual router:                DR-VR
  neighbor address:              192.168.139.43
  local address binding:         0.0.0.0
  type:                          dynamic
lines 1-59
  status:                        full <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.246
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               32
  messages pending:              0
  LSA request pending:           0
  options:                       0x42: O E 
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none

• En la packet capture (captura de paquetes - pcap) tomada en el FW-B, se ven los paquetes ICMP con tiempo de salida excedido enviados desde BDR al FW.

• Al examinar los detalles del paquete TTL excedido en la parte ICMP, sabremos que el paquete OSPF enviado desde el cortafuegos al enrutador DR se perdió en tránsito.

• Esto también proporciona detalles sobre el ID del paquete perdido en tránsito, que se puede rastrear en el mismo PCAP.

• Al filtrado el PCAP con ese ID de paquete podemos confirmar que el paquete DBD OSPF enviado desde el cortafuegos al enrutador DR es el que se perdió en tránsito.

PAN-OS: Todos

• OSPF utiliza un valor TTL de 1 para sus paquetes
• En esta configuración de vPC, el algoritmo hash de canal de puerto en el conmutador Cisco L2 hace que los paquetes OSPF de FW-B destinados a DR Nexus se envíen a través de BDR Nexus.
• A medida que estos paquetes atraviesan el enlace de pares VPC , su TTL disminuye a 0, lo que provoca que se descarten y evita la formación de adyacencia OSPF .
• Los mensajes ICMP TTL Exceeded son generados por BDR y enviados al FW.

Al habilitar el comando 'layer3 peer-router' en los conmutadores Nexus, el enlace de pares vPC se puede usar para el enrutamiento de Capa 3 , lo que permite que los paquetes OSPF pasen sin disminución de TTL .

# config t
(config) # vpc domain <domain-ID>
(config-vpc-domain) # layer3 peer-router
(config-vpc-domain) # end