Comprendre le comportement des sondes de surveillance de PBF et de tunnel

Comprendre le comportement des sondes de surveillance de PBF et de tunnel

84111
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 08:43 AM


Resolution


Les sondes de surveillance PBF sont générées par le dataplane pour vérifier la connectivité à une adresse IP cible ou à l'adresse IP de saut suivante.   Si l'adresse IP cible est accessible, la règle PBF est appliquée sinon le trafic passe par la phase de recherche d'itinéraire normale. 

 

De même , les sondes de surveillance de tunnel sont un mécanisme KeepAlive pour la phase 2 des tunnels IPSec pour surveiller une IP à distance sur le tunnel. Si l'IP surveillée est en panne, la phase 2 sa est supprimée et renégociée si le profil du moniteur est configuré en tant que «basculement»

 

Lire le document suivant pour les cas d'utilisation de base de la surveillance PBF: retransmission basée sur les politiques

 

Lire le document suivant pour comprendre comment sélectionner une adresse IP pour PBF ou Monitoring de tunnel: sélection d'une IP address pour PBF ou tunnel Monitoring

 

Remarque: PBF ne s'applique pas au trafic provenant du pare-feu. Lire le document suivant pour le même: la transmission basée sur les stratégies ne fonctionne pas pour le trafic provenant du pare-feu de Palo Alto Networks

 

 

Conseils à retenir lors de L'utilisation de surveillance PBF:

  • Les sondes utilisent des requêtes d'écho ICMP avec l'adresse IP source de l'interface de sortie configurée sous l'onglet transfert de la règle PBF.
  • Les sondes ne passent pas par le module d'écoulement. Recherche d'Itinéraire/recherche de stratégie/recherche NAT etc. ne pas appliquer sur ces sondes sur le pare-feu où la surveillance est configurée.
  • Les sondes sont envoyées de la même interface de sortie que celle configurée dans la règle PBF, soit via le saut suivant mentionné, soit dans le cas d'une interface tunnel, via le même tunnel.
  • Plus bas sur le réseau, ces sondes doivent être traitées comme des demandes d'écho ICMP normales et pour que les sondes soient réussies, les listes d'accès appropriées, les itinéraires doivent être configurés.
  • Les sondes ne sont pas envoyées à l'Aide de l'interface telle que retournée par la recherche d'itinéraire, ce qui permet de Pinger l'adresse IP cible surveillée à partir de dataplane à l'Aide de CLI n'est pas toujours un test valide pour résoudre les échecs de la sonde de surveillance.
  • Les sondes ne créent pas de sessions, ou les journaux de trafic ou les journaux de débogage plan de données ou les captures de paquets sur le pare-feu source, afin de les vérifier l'endroit le plus approprié à vérifier est à l'extérieur du pare-feu.
  • Si aucune adresse IP n'est spécifiée pour la surveillance PBF, le routeur de saut suivant est surveillé.

 

Voir L'exemple de vérification des sondes de surveillance dans un cas où l'interface de sortie est une interface tunnel:

 

Topologie

PA1 (tunnel. 1:100.1.1.1/32) = = = = = = = = = = = = = = = = = = = = = = = = (tunnel. 1:100.1.1.2/32) PA2 (eth1/4:30.1.1.1/24)

 

Dans le scénario ci-dessus, il existe une règle PBF sur le PA1 pour acheminer du trafic via tunnel. 1. La surveillance PBF est activée avec l'adresse IP cible est 30.1.1.1, qui est l'ip de l'interface ethernet1/4 sur l'homologue distant.

 

 

Configuration de l'Interface tunnel sur PA1: (doit avoir une adresse IP)

 

Screen Shot 2015-11-09 à 2.33.32 PM. png

 

 

Configuration de l'onglet de transfert sur la règle PFB sur PA1:

 

Screen Shot 2015-11-09 à 3.47.31 PM. png

 

 

Table de routage sur PA1 (aucun itinéraire explicite pour 30.1.1.1 IP cible):

 

Screen Shot 2015-11-09 à 3.44.18 PM. png

 

 

Stratégie de sécurité pour autoriser les sondes sur pA2:

 

Screen Shot 2015-11-09 à 3.34.41 PM. png

 

 

Profil de gestion sur ethernet1/4 pour permettre ping sur PA2:

 

Screen Shot 2015-11-09 à 3.37.08 PM. png

 

 

Route inversée pour 100.1.1.1/32 (IP source des sondes) sur pA2:

 

Screen Shot 2015-11-09 à 2.37.39 PM. png

 

Vérification:

 

Statut de règle PBF sur PA1 lorsque target est accessible:

 

admin @ PA-200 > afficher PBF rule name test-PBF

 

Règle: test-PBF (2)             

État de la règle: actif                

Action: Forward           

Rendement symétrique: non 

Sortie IF/VSYS: tunnel. 1   

NextHop:            0.0.0.0

Slot du moniteur: 1     

IP du moniteur: 30.1.1.1       

NextHop statut: up          

Moniteur:            action: moniteur, intervalle: 3, seuil: 5

Stats:              ka envoyé: 1559, ka Got: 287, paquet assorti: 0

 

 

Les journaux de trafic sur pA2 montrant le trafic de sonde comme Ping: (Regardez les paquets envoyer et reçu compteur)

 

Screen Shot 2015-11-09 à 3.39.15 PM. png

 

 

Statut de règle PBF sur PA1 lorsque target est inaccessible:

 

admin @ PA-200 > afficher PBF rule name test-PBF

 

Règle: test-PBF (2)             

État de la règle: désactivé       

Action: Forward           

Rendement symétrique: non 

Sortie IF/VSYS: tunnel. 1   

NextHop:            0.0.0.0

Slot du moniteur: 1     

IP du moniteur: 30.1.1.1       

NextHop statut: Down              

Moniteur:            action: moniteur, intervalle: 3, seuil: 5

Stats:              ka envoyé: 1675, ka Got: 342, paquet assorti: 0

 

Les journaux de trafic affichent toujours sur pA2 (Regardez le compteur de paquets reçus):

 

Screen Shot 2015-11-09 à 3.45.17 PM. png

 

Articles connexes :

 

La règle de transfert basée sur la stratégie n'est pas appliquée lorsque l'hôte de surveillance est inaccessible

PBF règle ne fonctionne pas lorsque PBF Monitoring est activé pour le IPAcross tunnel

Comment faire pour configurer un pare-feu de réseaux de Palo Alto avec doubles FSI et basculement automatique VPN

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGtCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language