在HA A/P故障转移后, OSPF路由未反映在RIB中,并且邻居与 Cisco nexus VPC集群处于 exstart状态
1789
Created On 12/12/23 10:25 AM - Last Modified 10/29/25 18:42 PM
Symptom
- 在主动/被动HA设置中的Palo Alto Networks防火墙与配置了 L3 HSRP 的 Cisco Nexus 交换机之间建立了OSPF邻接。
- 从邻近的 Nexus 交换机通告的OSPF路由在活动 FW-A 上正确显示。
FW-A(active)> show routing route VIRTUAL ROUTER: DR-VR (id 8) ========== destination nexthop metric flags age interface next-AS 0.0.0.0/0 192.168.139.42 11 A O1 1809717 ethernet1/18.705 10.19.12.0/24 192.168.139.42 20 A O2 1809717 ethernet1/18.705 10.19.13.0/24 192.168.139.42 20 A O2 1809717 ethernet1/18.705 10.19.14.0/24 192.168.139.42 20 A O2 1809717 ethernet1/18.705 10.19.15.0/25 192.168.139.42 58 A Oo 1809717 ethernet1/18.705 10.19.16.0/25 192.168.139.42 54 A Oi 1809717 ethernet1/18.705
- 跑步在 FW-A(活动节点)上,将显示DR 192.168.139.42 处于完整状态,但BDR 192.168.139.43 处于“交换启动”状态
virtual router: DR-VR neighbor address: 192.168.139.42 local address binding: 0.0.0.0 type: dynamic status: full <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.245 area id: 0.0.0.0 neighbor priority: 1 lifetime remain: 30 messages pending: 0 LSA request pending: 0 options: 0x42: O E hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none ========== virtual router: DR-VR neighbor address: 192.168.139.43 local address binding: 0.0.0.0 type: dynamic status: exchange start <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.246 area id: 0.0.0.0 lines 1-62 neighbor priority: 1 lifetime remain: 39 messages pending: 0 LSA request pending: 0 options: 0x00 hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none
- 如果发生故障转移转移并且 FW-B 变为活动状态,则OSPF路由将不再显示在路由表中,即使路由显示在输出。
- 跑步在 FW-B(故障转移后处于活动状态)上,将显示DR 192.168.139.42 卡在“交换启动”状态,但BDR 192.168.139.43 处于完整状态。
virtual router: DR-VR neighbor address: 192.168.139.42 local address binding: 0.0.0.0 type: dynamic status: exchange start <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.245 area id: 0.0.0.0 neighbor priority: 1 lifetime remain: 37 messages pending: 0 LSA request pending: 0 options: 0x00 hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none ========== virtual router: DR-VR neighbor address: 192.168.139.43 local address binding: 0.0.0.0 type: dynamic lines 1-59 status: full <<<<<<<<<<<<<<<< neighbor router ID: 192.168.129.246 area id: 0.0.0.0 neighbor priority: 1 lifetime remain: 32 messages pending: 0 LSA request pending: 0 options: 0x42: O E hello suppressed: no restart helper status: not helping restart helper time remaining: 0 restart helper exit reason: none
- 在 FW-B 上捕获的packet capture(数据包捕获-pcap)中,可以看到从BDR向 FW 发送了超出离开时间的 ICMP 数据包。
- 检查 ICMP 部分中TTL超出数据包的详细信息将告诉我们从防火墙发送到DR路由器的OSPF数据包在传输过程中丢失了。
- 这还提供了有关传输过程中丢失的数据包 ID 的详细信息,可以在同一个 PCAP 中进行跟踪
- 通过使用该数据包 ID过滤PCAP,我们可以确认从防火墙发送到DR路由器的OSPF DBD 数据包是在传输过程中丢失的数据包。
Environment
PAN OS:全部
Cause
- OSPF对其数据包使用TTL值 1
- 在此 vPC设置中,Cisco L2 交换机上的端口通道哈希算法导致从 FW-B 发往DR Nexus 的OSPF数据包通过BDR Nexus 发送。
- 由于这些数据包穿过VPC对等链路,它们的TTL递减为 0,导致它们被丢弃并阻止OSPF邻接形成。
- ICMP TTL超出消息由BDR生成并发送到 FW。
Resolution
通过在 Nexus 交换机上启用“layer3 peer-router”命令,vPC 对等链路可用于第 3 层路由,从而允许OSPF数据包遍历而不会减少TTL 。
# config t (config) # vpc domain <domain-ID> (config-vpc-domain) # layer3 peer-router (config-vpc-domain) # end