Pakete verworfen: Zonenschutzoption 'strict-ip-check' - Knowledge Base - Palo Alto Networks

Pakete verworfen: Zonenschutzoption 'strict-ip-check'

38464
Created On 05/14/20 00:23 AM - Last Modified 01/10/24 18:47 PM


Symptom


  • Ping und Trace-Route zum Ziel sind nicht erfolgreich.
  • Bei der Fehlerbehebung mithilfe globaler Leistungsindikatoren wird eine strenge ip-Prüfung als Ursache für Paketverluste angezeigt.         
> show counter global filter delta yes packet-filter yes
...
               Packets dropped: Zone protection option 'strict-ip-check

Environment


  • PANOS-9.0.6
  • Palo Alto Firewall .
  • Paket fällt über die an einige firewall Ziele.
  • Zonenschutz mit IP strenger Prüfung konfiguriert.

Cause


Pakete werden aufgrund falsch erlegener Quell- oder IP Zieladressen verworfen.
Beispiel: Verwerfen von Paketen, bei denen die Quell- oder IP Zieladresse mit der Netzwerkschnittstellenadresse identisch ist, eine Broadcast-Adresse, eine Loopback-Adresse, eine linklokale Adresse, eine nicht angegebene Adresse oder für die zukünftige Verwendung reserviert ist

Resolution


  1. Prüfen Sie zunächst, um welches Zonenschutzprofil es sich handelt
Benutzeriertes Bild
  1. Deaktiviert die Option "Strenge IP Adressprüfung" unter GUI : Netzwerk- > Netzwerkprofile>Zone-Schutz > Paketbasisangriffsschutz > strict IP Address Check.
Benutzeriertes Bild
 
Benutzeriertes Bild




 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 238,837
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g0000008U3FCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language