パス監視が厳密なアドレスチェックで回復しない IP

パス監視が厳密なアドレスチェックで回復しない IP

20139
Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM


Symptom


  • Firewall は、プライマリ リンク上のパス監視を行う 2 つの ISP にデュアル ホームされます。
GUI: ネットワーク --> 仮想ルータ --> ランタイム統計の詳細:
 
RIB テーブル

ネットワーク --> 仮想ルータ --> 静的ルート:
ユーザー追加イメージ
  • 各 ISP インターフェイスには、"厳密なアドレスチェック" を持つゾーン保護プロファイル IP があります。
ネットワーク --> ゾーン:
 
ゾーン保護

ネットワーク --> ゾーン保護 --> パケット ベースの攻撃保護:

ゾーン保護プロファイル
 
  • プライマリ パスが失敗し、削除または削除されます。セカンダリ パスは 'Active' としてフラグが付けられ、 にインストールされます FIB 。
モニタ --> システム:
 
システム ログ

ネットワーク --> 仮想ルータ --> 静的ルート:
 
ユーザー追加イメージ
  • サービスはプライマリ リンクに復元されますが、プライマリ リンクは「プリエンプティブホールド時間」の期限が切れた後に優先または引き継がされることはありません。 更新 RIB も行われなくて、ルーティングにセカンダリ リンクを使用し続けます。

 

Environment


  • Ny PAN-OS
  • パロ アルト Firewall .
  • パス監視は、冗長性/障害シナリオ用に構成されます。
  • [厳密なアドレス確認] が有効になっている両方のゾーンでゾーン保護が IP 使用されています

Cause


パス監視された送信元/宛先のフィルタのグローバル カウンタは、 IP 監視対象のトラフィックがドロップされていることを示しています。
 
admin@PA-VM> debug dataplane packet-diag show setting

--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
  Enabled:                   yes
  Match pre-parsed packet:   no
  Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
  Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------

admin@PA-VM> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 231.955 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   3        0 info      packet    pktproc   Packets received
flow_dos_pf_strictip                      63        0 drop      flow      dos       Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err                     63        0 drop      flow      tunnel    Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap               77        0 info      flow      tunnel    Packet encapped: IPSec ESP
flow_tunnel_encap_resolve                 77        0 info      flow      tunnel    tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------

 

Resolution


  1. IPゾーン保護プロファイルで「厳密なアドレスチェック」を無効にします。
  2. プライマリ リンクとセカンダリ リンクを 2 つの別々の仮想ルータに配置する
これらのソリューションのどちらでも、プライマリ パスが "アクティブ" ルートとしてインストールされたパスの回復が発生します。

モニタ --> システム:
 
ユーザー追加イメージ

ネットワーク --> 仮想ルータ --> ランタイム統計の詳細:
 
RIB 回復後
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g0000008UUVCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language