La supervisión de rutas nunca se recupera con una comprobación estricta IP de la dirección
16905
Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM
Symptom
- Firewall es el hogar dual a dos ISP con la supervisión de la trayectoria sobre el link primario:
GUI: Network --> Virtual Routers --> Más estadísticas en tiempo de ejecución:
Red --> Virtual Router --> Static Routes:
- Cada ISP interfaz tiene un perfil de protección de zona con 'Comprobación estricta IP de direcciones'
Redes --> Zonas:
Protección de zona --> de red --> Protección contra ataques basada en paquetes:
- Se produce un error en la ruta principal y se elimina/elimina; mientras que la ruta secundaria se marca como 'Activa' e instala FIB en:
Supervisar --> Sistema:
Red --> Virtual Router --> Static Routes:
- El servicio se restaura en el link principal pero el link principal nunca se apreta o toma el control después de que expire el "tiempo de espera preventivo". Ni RIB siquiera se actualiza y continúa utilizando el vínculo secundario para el enrutamiento.
Environment
- UnaNY PAN-OS
- Palo Alto Firewall .
- La supervisión de trayecto se configura para escenarios de redundancia/error.
- La protección de zona está en uso en ambas zonas con la comprobación estricta IP de direcciones habilitada
Cause
El contador global en el filtro para el origen/destino monitoreado por trayecto IP indica que el tráfico monitoreado se está descartando con una razón: Paquetes caídos: Opción de protección de zona 'strict-ip-check.'
admin@PA-VM> debug dataplane packet-diag show setting
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: yes
Match pre-parsed packet: no
Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------
admin@PA-VM> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 231.955 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_recv 3 0 info packet pktproc Packets received
flow_dos_pf_strictip 63 0 drop flow dos Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err 63 0 drop flow tunnel Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap 77 0 info flow tunnel Packet encapped: IPSec ESP
flow_tunnel_encap_resolve 77 0 info flow tunnel tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------Resolution
- Desactivar 'Comprobación estricta IP de direcciones' en el perfil de protección de zona; o
- Coloque los links primarios y secundarios en dos enrutadores virtuales separados
Cualquiera de estas soluciones debe dar lugar a la recuperación de trayecto con la ruta principal instalada como ruta 'activa':
Supervisar --> Sistema:
Red --> Virtual Router --> Más Estadísticas de Tiempo de Ejecución: