パス監視が厳密なアドレスチェックで回復しない IP - Knowledge Base - Palo Alto Networks

パス監視が厳密なアドレスチェックで回復しない IP

16903

Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM

Symptom

Firewall は、プライマリリンク上のパス監視を行う 2 つの ISP にデュアルホームされます。

GUI: ネットワーク --> 仮想ルータ --> ランタイム統計の詳細:

ネットワーク --> 仮想ルータ --> 静的ルート:

各 ISP インターフェイスには、"厳密なアドレスチェック" を持つゾーン保護プロファイル IP があります。

ネットワーク --> ゾーン:

ネットワーク --> ゾーン保護 --> パケットベースの攻撃保護:

プライマリパスが失敗し、削除または削除されます。セカンダリパスは 'Active' としてフラグが付けられ、にインストールされます FIB 。

モニタ --> システム:

ネットワーク --> 仮想ルータ --> 静的ルート:

サービスはプライマリリンクに復元されますが、プライマリリンクは「プリエンプティブホールド時間」の期限が切れた後に優先または引き継がされることはありません。更新 RIB も行われなくて、ルーティングにセカンダリリンクを使用し続けます。

Environment

Ny PAN-OS
パロアルト Firewall .
パス監視は、冗長性/障害シナリオ用に構成されます。
[厳密なアドレス確認] が有効になっている両方のゾーンでゾーン保護が IP 使用されています

Cause

パス監視された送信元/宛先のフィルタのグローバルカウンタは、 IP 監視対象のトラフィックがドロップされていることを示しています。

admin@PA-VM> debug dataplane packet-diag show setting

--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
  Enabled:                   yes
  Match pre-parsed packet:   no
  Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
  Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------

admin@PA-VM> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 231.955 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   3        0 info      packet    pktproc   Packets received
flow_dos_pf_strictip                      63        0 drop      flow      dos       Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err                     63        0 drop      flow      tunnel    Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap               77        0 info      flow      tunnel    Packet encapped: IPSec ESP
flow_tunnel_encap_resolve                 77        0 info      flow      tunnel    tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------

Resolution

IPゾーン保護プロファイルで「厳密なアドレスチェック」を無効にします。
プライマリリンクとセカンダリリンクを 2 つの別々の仮想ルータに配置する

これらのソリューションのどちらでも、プライマリパスが "アクティブ" ルートとしてインストールされたパスの回復が発生します。

モニタ --> システム:

ネットワーク --> 仮想ルータ --> ランタイム統計の詳細:

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)