Comprendre le comportement des sondes de surveillance de PBF et de tunnel
Resolution
Les sondes de surveillance PBF sont générées par le dataplane pour vérifier la connectivité à une adresse IP cible ou à l'adresse IP de saut suivante. Si l'adresse IP cible est accessible, la règle PBF est appliquée sinon le trafic passe par la phase de recherche d'itinéraire normale.
De même , les sondes de surveillance de tunnel sont un mécanisme KeepAlive pour la phase 2 des tunnels IPSec pour surveiller une IP à distance sur le tunnel. Si l'IP surveillée est en panne, la phase 2 sa est supprimée et renégociée si le profil du moniteur est configuré en tant que «basculement»
Lire le document suivant pour les cas d'utilisation de base de la surveillance PBF: retransmission basée sur les politiques
Lire le document suivant pour comprendre comment sélectionner une adresse IP pour PBF ou Monitoring de tunnel: sélection d'une IP address pour PBF ou tunnel Monitoring
Remarque: PBF ne s'applique pas au trafic provenant du pare-feu. Lire le document suivant pour le même: la transmission basée sur les stratégies ne fonctionne pas pour le trafic provenant du pare-feu de Palo Alto Networks
Conseils à retenir lors de L'utilisation de surveillance PBF:
- Les sondes utilisent des requêtes d'écho ICMP avec l'adresse IP source de l'interface de sortie configurée sous l'onglet transfert de la règle PBF.
- Les sondes ne passent pas par le module d'écoulement. Recherche d'Itinéraire/recherche de stratégie/recherche NAT etc. ne pas appliquer sur ces sondes sur le pare-feu où la surveillance est configurée.
- Les sondes sont envoyées de la même interface de sortie que celle configurée dans la règle PBF, soit via le saut suivant mentionné, soit dans le cas d'une interface tunnel, via le même tunnel.
- Plus bas sur le réseau, ces sondes doivent être traitées comme des demandes d'écho ICMP normales et pour que les sondes soient réussies, les listes d'accès appropriées, les itinéraires doivent être configurés.
- Les sondes ne sont pas envoyées à l'Aide de l'interface telle que retournée par la recherche d'itinéraire, ce qui permet de Pinger l'adresse IP cible surveillée à partir de dataplane à l'Aide de CLI n'est pas toujours un test valide pour résoudre les échecs de la sonde de surveillance.
- Les sondes ne créent pas de sessions, ou les journaux de trafic ou les journaux de débogage plan de données ou les captures de paquets sur le pare-feu source, afin de les vérifier l'endroit le plus approprié à vérifier est à l'extérieur du pare-feu.
- Si aucune adresse IP n'est spécifiée pour la surveillance PBF, le routeur de saut suivant est surveillé.
Voir L'exemple de vérification des sondes de surveillance dans un cas où l'interface de sortie est une interface tunnel:
Topologie
PA1 (tunnel. 1:100.1.1.1/32) = = = = = = = = = = = = = = = = = = = = = = = = (tunnel. 1:100.1.1.2/32) PA2 (eth1/4:30.1.1.1/24)
Dans le scénario ci-dessus, il existe une règle PBF sur le PA1 pour acheminer du trafic via tunnel. 1. La surveillance PBF est activée avec l'adresse IP cible est 30.1.1.1, qui est l'ip de l'interface ethernet1/4 sur l'homologue distant.
Configuration de l'Interface tunnel sur PA1: (doit avoir une adresse IP)
Configuration de l'onglet de transfert sur la règle PFB sur PA1:
Table de routage sur PA1 (aucun itinéraire explicite pour 30.1.1.1 IP cible):
Stratégie de sécurité pour autoriser les sondes sur pA2:
Profil de gestion sur ethernet1/4 pour permettre ping sur PA2:
Route inversée pour 100.1.1.1/32 (IP source des sondes) sur pA2:
Vérification:
Statut de règle PBF sur PA1 lorsque target est accessible:
admin @ PA-200 > afficher PBF rule name test-PBF
Règle: test-PBF (2)
État de la règle: actif
Action: Forward
Rendement symétrique: non
Sortie IF/VSYS: tunnel. 1
NextHop: 0.0.0.0
Slot du moniteur: 1
IP du moniteur: 30.1.1.1
NextHop statut: up
Moniteur: action: moniteur, intervalle: 3, seuil: 5
Stats: ka envoyé: 1559, ka Got: 287, paquet assorti: 0
Les journaux de trafic sur pA2 montrant le trafic de sonde comme Ping: (Regardez les paquets envoyer et reçu compteur)
Statut de règle PBF sur PA1 lorsque target est inaccessible:
admin @ PA-200 > afficher PBF rule name test-PBF
Règle: test-PBF (2)
État de la règle: désactivé
Action: Forward
Rendement symétrique: non
Sortie IF/VSYS: tunnel. 1
NextHop: 0.0.0.0
Slot du moniteur: 1
IP du moniteur: 30.1.1.1
NextHop statut: Down
Moniteur: action: moniteur, intervalle: 3, seuil: 5
Stats: ka envoyé: 1675, ka Got: 342, paquet assorti: 0
Les journaux de trafic affichent toujours sur pA2 (Regardez le compteur de paquets reçus):
Articles connexes :
PBF règle ne fonctionne pas lorsque PBF Monitoring est activé pour le IPAcross tunnel