Les routes OSPF ne se reflètent pas dans RIB après le basculement HA A/P et le voisinage bloqué dans état exstart avec le cluster Cisco Nexus VPC

• Adjacence OSPF établie entre les pare-feu Palo Alto Networks dans une configuration HA active/passive et les commutateurs Cisco Nexus configurés avec L3 HSRP.
• Les routes OSPF annoncées par les commutateurs Nexus voisins s'affichent correctement sur Active FW-A.

FW-A(active)> show routing route
VIRTUAL ROUTER: DR-VR (id 8)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS    
0.0.0.0/0                                   192.168.139.42                          11     A O1       1809717 ethernet1/18.705              
10.19.12.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.13.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.14.0/24                               192.168.139.42                          20     A O2       1809717 ethernet1/18.705              
10.19.15.0/25                               192.168.139.42                          58     A Oo       1809717 ethernet1/18.705              
10.19.16.0/25                               192.168.139.42                          54     A Oi       1809717 ethernet1/18.705      

• En cours d'exécution sur FW-A (nœud actif), affichera DR 192.168.139.42 dans état complet, mais BDR 192.168.139.43 dans « démarrage d'échange »

  virtual router:                DR-VR
  neighbor address:              192.168.139.42
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        full <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.245
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               30
  messages pending:              0
  LSA request pending:           0
  options:                       0x42: O E 
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none
  ==========
  virtual router:                DR-VR
  neighbor address:              192.168.139.43
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        exchange start <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.246
  area id:                       0.0.0.0
lines 1-62
  neighbor priority:             1
  lifetime remain:               39
  messages pending:              0
  LSA request pending:           0
  options:                       0x00
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none

• Si un basculement a lieu et que FW-B devient actif, les routes OSPF n'apparaissent plus dans la table de routage, même si les routes s'affichent dans sortir.
• En cours d'exécution sur FW-B (actif après basculement), affichera DR 192.168.139.42 bloqué dans « démarrage d'échange », mais BDR 192.168.139.43 dans état complet.

  virtual router:                DR-VR
  neighbor address:              192.168.139.42
  local address binding:         0.0.0.0
  type:                          dynamic
  status:                        exchange start <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.245
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               37
  messages pending:              0
  LSA request pending:           0
  options:                       0x00
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none
  ==========
  virtual router:                DR-VR
  neighbor address:              192.168.139.43
  local address binding:         0.0.0.0
  type:                          dynamic
lines 1-59
  status:                        full <<<<<<<<<<<<<<<<
  neighbor router ID:            192.168.129.246
  area id:                       0.0.0.0
  neighbor priority:             1
  lifetime remain:               32
  messages pending:              0
  LSA request pending:           0
  options:                       0x42: O E 
  hello suppressed:              no
  restart helper status:         not helping
  restart helper time remaining: 0
  restart helper exit reason:    none

• Dans la packet capture (capture de paquet - pcap) effectuée sur le FW-B, les paquets ICMP dépassés dans le délai de sortie sont observés envoyés du BDR au FW.

• L’examen des détails du paquet TTL dépassé dans la partie ICMP nous indiquera que le paquet OSPF envoyé depuis le pare-feu au routeur DR a été perdu pendant le transit.

• Cela fournit également des détails sur l'identifiant du paquet perdu en transit, qui peut être retracé dans le même PCAP

• En filtrage le PCAP avec cet ID de paquet, nous pouvons confirmer que le paquet OSPF DBD envoyé depuis le pare-feu vers le routeur DR est celui qui a été perdu pendant le transit.

PAN-OS : Tous

• OSPF utilise une valeur TTL de 1 pour ses paquets
• Dans cette configuration vPC, l'algorithme de hachage du canal de port sur le commutateur Cisco L2 provoque l'envoi des paquets OSPF de FW-B destinés à DR Nexus via le BDR Nexus.
• Étant donné que ces paquets traversent la liaison homologue VPC , leur TTL diminue à 0, ce qui entraîne leur abandon et empêche la formation d'adjacence OSPF .
• Les messages ICMP TTL dépassés sont générés par BDR et envoyés au FW.

En activant la commande « layer3 peer-router » sur les commutateurs Nexus, le lien homologue vPC peut être utilisé pour le routage de Couche 3 , permettant aux paquets OSPF de traverser sans décrémentation TTL .

# config t
(config) # vpc domain <domain-ID>
(config-vpc-domain) # layer3 peer-router
(config-vpc-domain) # end