路径监控永远不会恢复与严格的 IP 地址检查

路径监控永远不会恢复与严格的 IP 地址检查

20118
Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM


Symptom


  • Firewall 是双主页到两个ISP与路径监控的主要链接:
GUI:网络->虚拟路由器->更多的运行时间统计:
 
RIB 表

网络 -- >虚拟路由器 -- >静态路由
用户添加的图像
  • 每个 ISP 界面都有一个带"严格地址检查"的区域保护配置文件 IP
网络 -- >区域
 
区域保护

网络 -->区域保护 --基于>的攻击保护

区域保护配置文件
 
  • 主路径失败并被删除/删除:而次要路径标记为"活动"并安装在 FIB :
监视器 ->系统
 
系统日志

网络 -- >虚拟路由器 -- >静态路由
 
用户添加的图像
  • 服务在主链路上恢复,但主链路从不抢占或接管"抢占保持时间"到期后。 它 RIB 甚至没有得到更新,并继续使用次要链接进行路由。

 

Environment


  • 一个尼 PAN-OS
  • 帕洛阿尔托 Firewall .
  • 路径监视配置为冗余/故障方案。
  • 区域保护在启用严格地址检查的两个区域上都 IP 使用

Cause


路径监控源/目的地过滤器上的全球计数器 IP 显示,被监视的流量被丢弃的原因有:数据包已丢弃:区域保护选项"严格 ip 检查"。
 
admin@PA-VM> debug dataplane packet-diag show setting

--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
  Enabled:                   yes
  Match pre-parsed packet:   no
  Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
  Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------

admin@PA-VM> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 231.955 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   3        0 info      packet    pktproc   Packets received
flow_dos_pf_strictip                      63        0 drop      flow      dos       Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err                     63        0 drop      flow      tunnel    Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap               77        0 info      flow      tunnel    Packet encapped: IPSec ESP
flow_tunnel_encap_resolve                 77        0 info      flow      tunnel    tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------

 

Resolution


  1. 禁用 IP 区域保护配置文件中的"严格地址检查";或
  2. 将主链路和辅助链路放在两个独立的虚拟路由器中
这些解决方案中的任何一个都应导致路径恢复,主路径安装为"活动"路由:

监视器 ->系统
 
用户添加的图像

网络 -- >虚拟路由器 -- >运行时统计信息
 
RIB 恢复后
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g0000008UUVCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language