La surveillance du chemin ne se rétablit jamais avec une vérification IP d’adresse stricte
20175
Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM
Symptom
- Firewall est doublement abrité à deux FSI avec suivi des trajectoires sur le lien principal :
GUI: Réseau --> routeurs virtuels --plus > statistiques runtime:
Réseau --> routeur virtuel --> itinéraires statiques:
- Chaque ISP interface dispose d’un profil de protection de zone avec « Contrôle IP d’adresse strict »
Réseau --> Zones:
Réseau --protection > zone --protection contre les attaques > paquets:
- Le chemin principal échoue et est supprimé/supprimé; tandis que le chemin secondaire est marqué comme « actif » et installé dans le FIB :
Moniteur --> système:
Réseau --> routeur virtuel --> itinéraires statiques:
- Le service est rétabli sur le lien principal, mais le lien principal ne préempte jamais ou ne prend jamais le relais après l’expiration du « temps de détention préventive ». Le RIB n’est même pas mis à jour et continue d’utiliser le lien secondaire pour le routage.
Environment
- ANY PAN-OS
- Palo Alto Firewall .
- La surveillance des trajectoires est configurée pour les scénarios de redondance/défaillance.
- La protection de zone est en service sur les deux zones avec une vérification IP d’adresse stricte activée
Cause
Compteur global sur le filtre pour la source surveillée par chemin / destination IP indique que le trafic surveillé est supprimé avec une raison: Paquets supprimés: Option de protection de zone « strict-ip-check.
admin@PA-VM> debug dataplane packet-diag show setting
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: yes
Match pre-parsed packet: no
Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------
admin@PA-VM> show counter global filter packet-filter yes delta yes
Global counters:
Elapsed time since last sampling: 231.955 seconds
name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_recv 3 0 info packet pktproc Packets received
flow_dos_pf_strictip 63 0 drop flow dos Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err 63 0 drop flow tunnel Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap 77 0 info flow tunnel Packet encapped: IPSec ESP
flow_tunnel_encap_resolve 77 0 info flow tunnel tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------Resolution
- Désactiver la « vérification stricte IP de l’adresse » dans le profil de protection de zone; ou
- Placez les liens primaires et secondaires dans deux routeurs virtuels distincts
L’une ou l’autre de ces solutions devrait entraîner la récupération du chemin avec le chemin principal installé comme itinéraire « actif » :
Moniteur --> système:
Réseau --> Virtual Router --> Plus de statistiques runtime: