Verständnis des Verhaltens von PBF und Tunnel Überwachungs Sonden

Verständnis des Verhaltens von PBF und Tunnel Überwachungs Sonden

84105
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 08:43 AM


Resolution


PBF -Überwachungs Sonden werden von der dataplane generiert, um die Konnektivität zu einer Ziel-IP-Adresse oder zur nächsten Hop-IP-Adresse zu überprüfen.   Wenn die IP-Adresse des Ziels erreichbar ist, wird die PBF-Regel angewendet, sonst geht der Verkehr durch die normale Route-Lookup-Phase. 

 

Ebenso ist die Tunnel Überwachungs Sonde ein KeepAlive-Mechanismus für die Phase 2 der IPSec-Tunnel, um eine entfernte IP über den Tunnel zu überwachen. Wenn die überwachte IP herunter ist, wird die Phase 2 SA gelöscht und neu verhandelt, wenn das Monitorprofil als "Fail Over" konfiguriert ist.

 

Lesen Sie das folgende Dokument für die grundlegenden Anwendungsfälle der PBF-Überwachung: PolitikBasierte Weiterleitung

 

Lesen Sie das folgende Dokument, um zu verstehen, wie Sie eine IP für PBF oder TunnelÜberwachung auswählen: Auswahl einer IP-Adresse für PBF oder Tunnel Überwachung

 

Hinweis: PBF gilt nicht für den Verkehr, der aus der Firewall stammt. Lesen Sie das folgende Dokument für das gleiche: die Policy-basierte Spedition funktioniert nicht für den Verkehr, der von der Palo Alto Networks Firewall stammt .

 

 

Tipps zur Erinnerung bei der PBF-Überwachung:

  • Sonden verwenden ICMP-Echo-Anfragen mit der Quell-IP-Adresse der Egress-Schnittstelle, wie Sie unter der Spedition der PBF-Regel konfiguriert sind.
  • Sonden gehen nicht durch Strömungs Modul. Route Lookup/Policy Lookup/NAT Lookup etc. bewerben Sie sich nicht auf diesen Sonden auf der Firewall, wo die Überwachung konfiguriert ist.
  • Die Sonden werden aus der gleichen Egress-Schnittstelle gesendet, wie Sie in der PBF-Regel konfiguriert ist, entweder über den nächsten Hopfen, oder im Falle einer Tunnel Schnittstelle, über denselben Tunnel.
  • Weiter unten im Netz sollten diese Sonden als normale ICMP-Echo-Anfragen behandelt werden und damit Sonden erfolgreich sein können, richtige ZugriffsListen, Routen sollten konfiguriert werden.
  • Sonden werden nicht über das Interface verschickt, wie es von der Routensuche zurückgegeben wird, daher ist es nicht immer ein gültiger Test, die überwachte Ziel-IP-Adresse von dataplane mit CLI zu kneifen, um Überwachungs Sonden zu stören.
  • Sonden erstellen keine Sessions, keine Traffic-Protokolle oder Daten Ebenen-Debug-Protokolle oder Paketaufnahmen auf der Quell Firewall, um Sie zu überprüfen, ist der geeignetste Ort, um zu überprüfen, außerhalb der Firewall.
  • Wenn für die PBF-Überwachung keine IP-Adresse angegeben ist, wird der nächste Hop-Router überwacht.

 

Sehen Sie das Beispiel der Verifizierung von Überwachungs Sonden in einem Fall, in dem Egress-Schnittstelle eine Tunnel Schnittstelle ist:

 

Topologie

PA1 (Tunnel. 1:100.1.1.1/32) = = = = = = = "IPSEC-Tunnel" = = = = = = = = = = = = (Tunnel. 1:100.1.1.2/32) PA2 (eth1/4:30.1.1.1/24)

 

Im obigen Szenario gibt es eine PBF-Regel auf der PA1, um etwas Verkehr über Tunnel weiterzuleiten. 1. PBF-Monitoring ist mit der Ziel-IP-Adresse 30.1.1.1, die die Ethernet1/4-Schnittstelle IP auf dem entfernten Peer ist.

 

 

Tunnel Schnittstellen Konfiguration auf PA1: (muss eine IP-Adresse haben)

 

Screenshot 2015-11-09 um 2.33.32 Uhr. png

 

 

Forwarding-Tab-Konfiguration auf PFB-Regel auf PA1:

 

Screenshot 2015-11-09 um 3.47.31 Uhr. png

 

 

Routing-Tabelle auf PA1 (keine explizite Route für Ziel-IP-30.1.1.1):

 

Screenshot 2015-11-09 um 3.44.18 Uhr. png

 

 

SicherheitsPolitik, um die Sonden auf PA2 zu ermöglichen:

 

Screenshot 2015-11-09 um 3.34.41 Uhr. png

 

 

Management-Profil auf Ethernet1/4, um Ping auf PA2 zu ermöglichen:

 

Screenshot 2015-11-09 um 3.37.08 Uhr. png

 

 

Umgekehrte Route für 100.1.1.1/32 (Quelle IP der Sonden) auf PA2:

 

Screenshot 2015-11-09 um 2.37.39 Uhr. png

 

Überprüfung:

 

PBF-Regel Status auf PA1, wenn das Ziel erreichbar ist:

 

admin @ PA-200 > PBF Rule Name Test-PBF anzeigen

 

Regel: Test-PBF (2)             

Regel Zustand: aktiv                

Aktion: Vorwärts           

Symmetrische Rendite: Nein 

Egress IF/VSYS: Tunnel. 1   

NextHop:            0.0.0.0

Monitor Schlitz: 1     

Monitor IP: 30.1.1.1       

NextHop-Status: bis          

Monitor:            Aktion: Monitor, Intervall: 3, Schwelle: 5

Statistik:              KA Sent: 1559, Ka got: 287, Paket aufeinander abgestimmt: 0

 

 

Verkehrsprotokolle auf PA2, die den sondenverkehr als Ping anzeigen: (schauen Sie sich die Pakete an und erhalten Sie den Zähler)

 

Screenshot 2015-11-09 um 3.39.15 Uhr. png

 

 

PBF-Regel Status auf PA1, wenn das Ziel nicht erreichbar ist:

 

admin @ PA-200 > PBF Rule Name Test-PBF anzeigen

 

Regel: Test-PBF (2)             

Regel Zustand: Behinderte       

Aktion: Vorwärts           

Symmetrische Rendite: Nein 

Egress IF/VSYS: Tunnel. 1   

NextHop:            0.0.0.0

Monitor Schlitz: 1     

Monitor IP: 30.1.1.1       

NextHop-Status: down              

Monitor:            Aktion: Monitor, Intervall: 3, Schwelle: 5

Statistik:              KA Sent: 1675, Ka got: 342, Paket abgestimmt: 0

 

Verkehrsprotokolle, die immer noch auf PA2 (schauen Sie sich die Pakete erhalten Zähler):

 

Screenshot 2015-11-09 um 3.45.17 Uhr. png

 

Verwandte Artikel:

 

Eine PolitikBasierte Speditions Regel wird nicht angewendet, wenn der Überwachungs Rechner nicht erreichbar ist

Die PBF-Regel funktioniert nicht, wenn die PBF-Überwachung für die ipacross-Tunnel aktiviert ist.

Konfigurieren von Palo Alto Networks Firewall mit Dual ISPs und automatische VPN-Failover

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGtCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language