Pakete verworfen: Zonenschutzoption 'strict-ip-check'

Pakete verworfen: Zonenschutzoption 'strict-ip-check'

28932
Created On 05/14/20 00:23 AM - Last Modified 01/10/24 18:47 PM


Symptom


  • Ping und Trace-Route zum Ziel sind nicht erfolgreich.
  • Bei der Fehlerbehebung mithilfe globaler Leistungsindikatoren wird eine strenge ip-Prüfung als Ursache für Paketverluste angezeigt.         
> show counter global filter delta yes packet-filter yes
...
               Packets dropped: Zone protection option 'strict-ip-check

Environment


  • PANOS-9.0.6
  • Palo Alto Firewall .
  • Paket fällt über die an einige firewall Ziele.
  • Zonenschutz mit IP strenger Prüfung konfiguriert.

Cause


Pakete werden aufgrund falsch erlegener Quell- oder IP Zieladressen verworfen.
Beispiel: Verwerfen von Paketen, bei denen die Quell- oder IP Zieladresse mit der Netzwerkschnittstellenadresse identisch ist, eine Broadcast-Adresse, eine Loopback-Adresse, eine linklokale Adresse, eine nicht angegebene Adresse oder für die zukünftige Verwendung reserviert ist

Resolution


  1. Prüfen Sie zunächst, um welches Zonenschutzprofil es sich handelt
Benutzeriertes Bild
  1. Deaktiviert die Option "Strenge IP Adressprüfung" unter GUI : Netzwerk- > Netzwerkprofile>Zone-Schutz > Paketbasisangriffsschutz > strict IP Address Check.
Benutzeriertes Bild
 
Benutzeriertes Bild




 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g0000008U3FCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language