路径监控永远不会恢复与严格的 IP 地址检查 - Knowledge Base - Palo Alto Networks

路径监控永远不会恢复与严格的 IP 地址检查

16854

Created On 06/18/20 04:40 AM - Last Modified 03/26/21 16:19 PM

Symptom

Firewall 是双主页到两个ISP与路径监控的主要链接：

GUI：网络->虚拟路由器->更多的运行时间统计：

网络 -- >虚拟路由器 -- >静态路由：

每个 ISP 界面都有一个带"严格地址检查"的区域保护配置文件 IP

网络 -- >区域：

网络 -->区域保护 --基于>的攻击保护：

主路径失败并被删除/删除：而次要路径标记为"活动"并安装在 FIB ：

监视器 ->系统：

网络 -- >虚拟路由器 -- >静态路由：

服务在主链路上恢复，但主链路从不抢占或接管"抢占保持时间"到期后。它 RIB 甚至没有得到更新，并继续使用次要链接进行路由。

Environment

一个尼 PAN-OS
帕洛阿尔托 Firewall .
路径监视配置为冗余/故障方案。
区域保护在启用严格地址检查的两个区域上都 IP 使用

Cause

路径监控源/目的地过滤器上的全球计数器 IP 显示，被监视的流量被丢弃的原因有：数据包已丢弃：区域保护选项"严格 ip 检查"。

admin@PA-VM> debug dataplane packet-diag show setting

--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
  Enabled:                   yes
  Match pre-parsed packet:   no
  Index 1: 10.0.0.1/32[0]->8.8.8.8/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
  Index 2: 8.8.8.8/32[0]->10.0.0.1/32[0], proto 0
           ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------

admin@PA-VM> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 231.955 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   3        0 info      packet    pktproc   Packets received
flow_dos_pf_strictip                      63        0 drop      flow      dos       Packets dropped: Zone protection option 'strict-ip-check'
flow_tunnel_decap_err                     63        0 drop      flow      tunnel    Packet dropped: tunnel decapsulation error
flow_tunnel_ipsec_esp_encap               77        0 info      flow      tunnel    Packet encapped: IPSec ESP
flow_tunnel_encap_resolve                 77        0 info      flow      tunnel    tunnel structure lookup resolve
--------------------------------------------------------------------------------
Total counters shown: 5
--------------------------------------------------------------------------------

Resolution

禁用 IP 区域保护配置文件中的"严格地址检查";或
将主链路和辅助链路放在两个独立的虚拟路由器中

这些解决方案中的任何一个都应导致路径恢复，主路径安装为"活动"路由：

监视器 ->系统：

网络 -- >虚拟路由器 -- >运行时统计信息：

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)