Verständnis des Verhaltens von PBF und Tunnel Überwachungs Sonden
Resolution
PBF -Überwachungs Sonden werden von der dataplane generiert, um die Konnektivität zu einer Ziel-IP-Adresse oder zur nächsten Hop-IP-Adresse zu überprüfen. Wenn die IP-Adresse des Ziels erreichbar ist, wird die PBF-Regel angewendet, sonst geht der Verkehr durch die normale Route-Lookup-Phase.
Ebenso ist die Tunnel Überwachungs Sonde ein KeepAlive-Mechanismus für die Phase 2 der IPSec-Tunnel, um eine entfernte IP über den Tunnel zu überwachen. Wenn die überwachte IP herunter ist, wird die Phase 2 SA gelöscht und neu verhandelt, wenn das Monitorprofil als "Fail Over" konfiguriert ist.
Lesen Sie das folgende Dokument für die grundlegenden Anwendungsfälle der PBF-Überwachung: PolitikBasierte Weiterleitung
Lesen Sie das folgende Dokument, um zu verstehen, wie Sie eine IP für PBF oder TunnelÜberwachung auswählen: Auswahl einer IP-Adresse für PBF oder Tunnel Überwachung
Hinweis: PBF gilt nicht für den Verkehr, der aus der Firewall stammt. Lesen Sie das folgende Dokument für das gleiche: die Policy-basierte Spedition funktioniert nicht für den Verkehr, der von der Palo Alto Networks Firewall stammt .
Tipps zur Erinnerung bei der PBF-Überwachung:
- Sonden verwenden ICMP-Echo-Anfragen mit der Quell-IP-Adresse der Egress-Schnittstelle, wie Sie unter der Spedition der PBF-Regel konfiguriert sind.
- Sonden gehen nicht durch Strömungs Modul. Route Lookup/Policy Lookup/NAT Lookup etc. bewerben Sie sich nicht auf diesen Sonden auf der Firewall, wo die Überwachung konfiguriert ist.
- Die Sonden werden aus der gleichen Egress-Schnittstelle gesendet, wie Sie in der PBF-Regel konfiguriert ist, entweder über den nächsten Hopfen, oder im Falle einer Tunnel Schnittstelle, über denselben Tunnel.
- Weiter unten im Netz sollten diese Sonden als normale ICMP-Echo-Anfragen behandelt werden und damit Sonden erfolgreich sein können, richtige ZugriffsListen, Routen sollten konfiguriert werden.
- Sonden werden nicht über das Interface verschickt, wie es von der Routensuche zurückgegeben wird, daher ist es nicht immer ein gültiger Test, die überwachte Ziel-IP-Adresse von dataplane mit CLI zu kneifen, um Überwachungs Sonden zu stören.
- Sonden erstellen keine Sessions, keine Traffic-Protokolle oder Daten Ebenen-Debug-Protokolle oder Paketaufnahmen auf der Quell Firewall, um Sie zu überprüfen, ist der geeignetste Ort, um zu überprüfen, außerhalb der Firewall.
- Wenn für die PBF-Überwachung keine IP-Adresse angegeben ist, wird der nächste Hop-Router überwacht.
Sehen Sie das Beispiel der Verifizierung von Überwachungs Sonden in einem Fall, in dem Egress-Schnittstelle eine Tunnel Schnittstelle ist:
Topologie
PA1 (Tunnel. 1:100.1.1.1/32) = = = = = = = "IPSEC-Tunnel" = = = = = = = = = = = = (Tunnel. 1:100.1.1.2/32) PA2 (eth1/4:30.1.1.1/24)
Im obigen Szenario gibt es eine PBF-Regel auf der PA1, um etwas Verkehr über Tunnel weiterzuleiten. 1. PBF-Monitoring ist mit der Ziel-IP-Adresse 30.1.1.1, die die Ethernet1/4-Schnittstelle IP auf dem entfernten Peer ist.
Tunnel Schnittstellen Konfiguration auf PA1: (muss eine IP-Adresse haben)
Forwarding-Tab-Konfiguration auf PFB-Regel auf PA1:
Routing-Tabelle auf PA1 (keine explizite Route für Ziel-IP-30.1.1.1):
SicherheitsPolitik, um die Sonden auf PA2 zu ermöglichen:
Management-Profil auf Ethernet1/4, um Ping auf PA2 zu ermöglichen:
Umgekehrte Route für 100.1.1.1/32 (Quelle IP der Sonden) auf PA2:
Überprüfung:
PBF-Regel Status auf PA1, wenn das Ziel erreichbar ist:
admin @ PA-200 > PBF Rule Name Test-PBF anzeigen
Regel: Test-PBF (2)
Regel Zustand: aktiv
Aktion: Vorwärts
Symmetrische Rendite: Nein
Egress IF/VSYS: Tunnel. 1
NextHop: 0.0.0.0
Monitor Schlitz: 1
Monitor IP: 30.1.1.1
NextHop-Status: bis
Monitor: Aktion: Monitor, Intervall: 3, Schwelle: 5
Statistik: KA Sent: 1559, Ka got: 287, Paket aufeinander abgestimmt: 0
Verkehrsprotokolle auf PA2, die den sondenverkehr als Ping anzeigen: (schauen Sie sich die Pakete an und erhalten Sie den Zähler)
PBF-Regel Status auf PA1, wenn das Ziel nicht erreichbar ist:
admin @ PA-200 > PBF Rule Name Test-PBF anzeigen
Regel: Test-PBF (2)
Regel Zustand: Behinderte
Aktion: Vorwärts
Symmetrische Rendite: Nein
Egress IF/VSYS: Tunnel. 1
NextHop: 0.0.0.0
Monitor Schlitz: 1
Monitor IP: 30.1.1.1
NextHop-Status: down
Monitor: Aktion: Monitor, Intervall: 3, Schwelle: 5
Statistik: KA Sent: 1675, Ka got: 342, Paket abgestimmt: 0
Verkehrsprotokolle, die immer noch auf PA2 (schauen Sie sich die Pakete erhalten Zähler):
Verwandte Artikel:
Die PBF-Regel funktioniert nicht, wenn die PBF-Überwachung für die ipacross-Tunnel aktiviert ist.
Konfigurieren von Palo Alto Networks Firewall mit Dual ISPs und automatische VPN-Failover