HA A/P 페일오버 후 OSPF 경로가 RIB 에 반영되지 않고 Cisco Nexus VPC 클러스터와 함께 이웃 관계가 exstart 상태 에 갇힘
1797
Created On 12/12/23 10:25 AM - Last Modified 10/29/25 18:42 PM
Symptom
- Active/Passive HA 셋업 의 Palo Alto Networks 방화벽과 L3 HSRP로 구성된 Cisco Nexus 스위치 사이에 OSPF 인접성이 설정되었습니다.
- 이웃 Nexus 스위치에서 광고된 OSPF 경로가 Active FW-A에 제대로 표시됩니다.
FW-A(active)> show routing route VIRTUAL ROUTER: DR-VR (id 8) ========== destination nexthop metric flags age interface next-AS 0.0.0.0/0 192.168.139.42 11 A O1 1809717 ethernet1/18.705 10.19.12.0/24 192.168.139.42 20 A O2 1809717 ethernet1/18.705 10.19.13.0/24 192.168.139.42 20 A O2 1809717 ethernet1/18.705 10.19.14.0/24 192.168.139.42 20 A O2 1809717 ethernet1/18.705 10.19.15.0/25 192.168.139.42 58 A Oo 1809717 ethernet1/18.705 10.19.16.0/25 192.168.139.42 54 A Oi 1809717 ethernet1/18.705
- 달리기 FW-A(활성 노드)에서는 DR 192.168.139.42가 Full 상태 인 반면 BDR 192.168.139.43은 "교환 시작" 상태입니다.
virtual router: DR-VR neighbor address: 192.168.139.42 local address binding: 0.0.0.0 type: dynamic status: full <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.245 area id: 0.0.0.0 neighbor priority: 1 lifetime remain: 30 messages pending: 0 LSA request pending: 0 options: 0x42: O E hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none ========== virtual router: DR-VR neighbor address: 192.168.139.43 local address binding: 0.0.0.0 type: dynamic status: exchange start <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.246 area id: 0.0.0.0 lines 1-62 neighbor priority: 1 lifetime remain: 39 messages pending: 0 LSA request pending: 0 options: 0x00 hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none
- 페일오버 발생하고 FW-B가 활성화되면 경로가 라우팅 테이블에 표시되는 경우에도 OSPF 경로가 더 이상 라우팅 테이블에 표시되지 않습니다. 산출.
- 달리기 FW-B( 페일오버 후 활성화)에서 DR 192.168.139.42가 "교환 시작"에 멈췄지만 BDR 192.168.139.43은 전체 상태 임을 보여줍니다.
virtual router: DR-VR neighbor address: 192.168.139.42 local address binding: 0.0.0.0 type: dynamic status: exchange start <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.245 area id: 0.0.0.0 neighbor priority: 1 lifetime remain: 37 messages pending: 0 LSA request pending: 0 options: 0x00 hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none ========== virtual router: DR-VR neighbor address: 192.168.139.43 local address binding: 0.0.0.0 type: dynamic lines 1-59 status: full <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.246 area id: 0.0.0.0 neighbor priority: 1 lifetime remain: 32 messages pending: 0 LSA request pending: 0 options: 0x42: O E hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none
- FW-B에서 패킷 캡처 한 결과, BDR 에서 FW로 전송되는 ICMP 패킷은 전송 지연 시간을 초과한 것으로 나타났습니다.
- ICMP 부분에서 TTL 초과 패킷의 세부 정보를 살펴보면 방화벽 에서 DR 라우터로 보낸 OSPF 패킷이 전송 중에 손실되었음을 알 수 있습니다.
- 여기에는 동일한 PCAP에서 추적할 수 있는 전송 중 손실된 패킷 ID에 대한 세부 정보도 제공됩니다.
- 해당 패킷 ID로 PCAP를 필터링 하면 방화벽 에서 DR 라우터로 보낸 OSPF DBD 패킷이 전송 중 손실된 패킷임을 확인할 수 있습니다.
Environment
PAN-OS: 모두
Cause
- OSPF 패킷에 대해 TTL 값 1을 사용합니다.
- 이 vPC 셋업 에서 Cisco L2 스위치의 포트 채널 해싱 알고리즘은 FW-B에서 DR Nexus로 향하는 OSPF 패킷이 BDR Nexus를 경유하여 전송되도록 합니다.
- 이러한 패킷은 VPC 피어 링크를 통과하므로 TTL 0으로 감소하여 패킷이 삭제되고 OSPF 인접성 형성이 방해를 받습니다.
- ICMP TTL 초과 메시지는 BDR 에 의해 생성되어 FW로 전송됩니다.
Resolution
Nexus 스위치에서 'layer3 peer-router' 명령을 활성화하면 vPC 피어 링크를 레이어 3 라우팅에 사용할 수 있으며, TTL 감소 없이 OSPF 패킷을 전송할 수 있습니다.
# config t (config) # vpc domain <domain-ID> (config-vpc-domain) # layer3 peer-router (config-vpc-domain) # end