Pfadüberwachung wird nie mit strenger Adressprüfung wiederhergestellt IP
16907
Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM
Symptom
- Firewall ist zwei ISPs mit Pfadüberwachung über die primäre Verbindung:
GUI: Netzwerk --> Virtuelle Router --> Mehr Laufzeitstatistiken:
Netzwerk --> Virtueller Router --> statische Routen:
- Jede ISP Schnittstelle verfügt über ein Zonenschutzprofil mit 'Strict Address IP Check'
Netzwerk --> Zonen:
Netzwerk --> Zone Protection --> Paketbasierter Angriffsschutz:
- Der primäre Pfad schlägt fehl und wird gelöscht/entfernt. während der sekundäre Pfad als "Aktiv" gekennzeichnet und in FIB der
Monitor --> System:
Netzwerk --> Virtueller Router --> statische Routen:
- Der Dienst wird auf der primären Verbindung wiederhergestellt, aber die primäre Verbindung wird nie vorweggenommen oder übernimmt, nachdem die "Präventivhaltezeit" abläuft. Der RIB wird nicht einmal aktualisiert und verwendet weiterhin die sekundäre Verbindung für das Routing.
Environment
- Any PAN-OS
- Palo Alto Firewall .
- Die Pfadüberwachung ist für Redundanz-/Fehlerszenarien konfiguriert.
- Zonenschutz wird in beiden Zonen verwendet, wobei die strenge Adressprüfung aktiviert ist. IP
Cause
Der globale Leistungsindikator auf dem Filter für die pfadüberwachte Quelle/ziel IP zeigt an, dass der überwachte Datenverkehr aus einem Grund gelöscht wird: Pakete wurden verworfen: Zonenschutzoption 'strict-ip-check'.
admin@PA-VM> debug dataplane packet-diag show setting
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: yes
Match pre-parsed packet: no
Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------
admin@PA-VM> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 231.955 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_recv 3 0 info packet pktproc Packets received
flow_dos_pf_strictip 63 0 drop flow dos Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err 63 0 drop flow tunnel Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap 77 0 info flow tunnel Packet encapped: IPSec ESP
flow_tunnel_encap_resolve 77 0 info flow tunnel tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------Resolution
- Deaktivieren Sie "Strict IP Address Check" im Zonenschutzprofil oder
- Platzieren der primären und sekundären Links in zwei separaten virtuellen Routern
Jede dieser Lösungen sollte zur Pfadwiederherstellung führen, wobei der primäre Pfad als "Aktive" Route installiert ist:
Monitor --> System:
Netzwerk --> Virtueller Router --> Mehr Laufzeitstatistiken: