Comprensión del comportamiento de las sondas de PBF y monitoreo de túneles

Comprensión del comportamiento de las sondas de PBF y monitoreo de túneles

84086
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 08:43 AM


Resolution


Los sondeos de supervisión de PBF son generados por el plan de los mismos para verificar la conectividad a una dirección IP de destino o a la siguiente dirección IP de salto.   Si se llega a la dirección IP de destino, la regla PBF se aplica más el tráfico pasa a través de la fase de búsqueda de ruta normal. 

 

De manera similar , las sondas de monitoreo de túnel son un mecanismo keepalive para la fase 2 de túneles IPSec para monitorear una IP remota sobre el túnel. Si la IP monitorizada está descontrolada, la fase 2 SA se elimina y se renegocia si el perfil del monitor está configurado como "fail over"

 

Lea el siguiente documento para los casos de uso básico de la supervisión PBF: reenvío basado en políticas

 

Lea el siguiente documento para entender cómo seleccionar una IP para PBF o supervisión de túnel: selección de una dirección IP para PBF o supervisión de túnel

 

Nota: PBF no aplica para el tráfico procedente del firewall. Lea el siguiente documento para el mismo: el reenvío basado en políticas no funciona para el tráfico procedente del cortafuegos de Palo Alto Networks

 

 

Consejos para recordar mientras utiliza PBF Monitoring:

  • Las sondas utilizan solicitudes de eco ICMP con la dirección IP de origen de la interfaz de salida como se configura en la ficha reenvío de la regla PBF.
  • Las sondas no pasan por el módulo de flujo. Búsqueda de ruta/búsqueda de directivas/búsqueda de NAT etc. no aplicar en estos sondeos en el cortafuegos donde está configurado el monitoreo.
  • Las sondas se envían fuera de la misma interfaz de salida que se configura en la regla PBF, ya sea a través del siguiente salto mencionado, o en caso de una interfaz de túnel, a través del mismo túnel.
  • Más abajo de la red, estos sondeos deben ser tratados como peticiones de eco ICMP normales y para que los sondeos sean exitosos, las listas de acceso apropiadas, las rutas deben ser configuradas.
  • Las sondas no se envían utilizando la interfaz que devuelve la búsqueda de rutas, por lo que hacer ping a la dirección IP de destino supervisada desde el plan de análisis mediante CLI no siempre es una prueba válida para solucionar los errores de sondeo de supervisión.
  • Las sondas no crean sesiones, ni registros de tráfico ni registros de depuración de planos de datos ni capturas de paquetes en el cortafuegos de origen, por lo que para comprobar que el lugar más apropiado para comprobar está fuera del cortafuegos.
  • Si no se especifica ninguna dirección IP para la supervisión de PBF, se monitorea el siguiente enrutador de salto.

 

Vea el ejemplo de verificación de las sondas de monitoreo en un caso donde la interfaz de salida es una interfaz de túnel:

 

Topología

PA1 (Tunnel. 1:100.1.1.1/32) = = = = = = = = = = = = = = = = = = = = = = = = = = = = (túnel. 1:100.1.1.2/32) PA2 (eth1/4:30.1.1.1/24)

 

En el escenario anterior, hay una regla PBF en el PA1 para reenviar un poco de tráfico vía Tunnel. 1. La supervisión de PBF está activada con la dirección IP de destino es 30.1.1.1, que es la IP de la interfaz ethernet1/4 en el par remoto.

 

 

Configuración de interfaz de túnel en PA1: (debe tener una dirección IP)

 

Screen Shot 2015-11-09 en 2.33.32 PM. png

 

 

Reenviar la configuración de la ficha en la regla PFB en PA1:

 

Screen Shot 2015-11-09 en 3.47.31 PM. png

 

 

Tabla de enrutamiento en PA1 (sin ruta explícita para 30.1.1.1 IP de destino):

 

Screen Shot 2015-11-09 en 3.44.18 PM. png

 

 

Política de seguridad para permitir los sondeos en PA2:

 

Screen Shot 2015-11-09 en 3.34.41 PM. png

 

 

Perfil de gestión en ethernet1/4 para permitir ping en PA2:

 

Screen Shot 2015-11-09 en 3.37.08 PM. png

 

 

Invierta la ruta para 100.1.1.1/32 (IP de la fuente de puntas de prueba) en PA2:

 

Screen Shot 2015-11-09 en 2.37.39 PM. png

 

Verificación:

 

PBF estado de la regla en PA1 cuando se alcanza el destino:

 

admin @ PA-200 > Mostrar PBF nombre de la regla de prueba-PBF

 

Regla: Test-PBF (2)             

Estado de la regla: activo                

Acción: adelante           

Retorno simétrico: no 

Salida if/VSYS: Tunnel. 1   

NextHop:            0.0.0.0

Ranura del monitor: 1     

IP del monitor: 30.1.1.1       

NextHop estado: arriba          

Monitor:            acción: monitor, intervalo: 3, umbral: 5

Stats:              Ka enviado: 1559, Ka conseguido: 287, paquete emparejado: 0

 

 

Registros de tráfico en PA2 mostrando tráfico de sondeos como ping: (mira el contador de envío y recepción de paquetes)

 

Screen Shot 2015-11-09 en 3.39.15 PM. png

 

 

PBF estado de la regla en PA1 cuando el destino es inalcanzable:

 

admin @ PA-200 > Mostrar PBF nombre de la regla de prueba-PBF

 

Regla: Test-PBF (2)             

Estado de la regla: deshabilitado        

Acción: adelante           

Retorno simétrico: no 

Salida if/VSYS: Tunnel. 1   

NextHop:            0.0.0.0

Ranura del monitor: 1     

IP del monitor: 30.1.1.1       

Estado de NextHop: abajo              

Monitor:            acción: monitor, intervalo: 3, umbral: 5

Stats:              Ka enviado: 1675, Ka conseguido: 342, paquete emparejado: 0

 

Los registros de tráfico siguen apareciendo en PA2 (ver el contador de paquetes recibidos):

 

Screen Shot 2015-11-09 en 3.45.17 PM. png

 

Artículos relacionados:

 

La regla de reenvío basada en directivas no se aplica cuando no se alcanza el host de supervisión

La regla PBF no funciona cuando se habilita la supervisión PBF para el IPAcross del túnel

Cómo configurar un servidor de seguridad de las redes de Palo Alto con dos ISP y Failover automático de VPN

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGtCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language