PBF およびトンネル監視プローブの動作について
Resolution
PBF監視プローブは、ターゲット ip アドレスまたは次ホップ ip アドレスへの接続を確認するために dataplane によって生成されます。 ターゲット IP アドレスが到達可能な場合、PBF ルールは、トラフィックが通常のルートルックアップフェーズを通過する他の適用されます。
同様に、トンネル監視プローブは、トンネル上のリモート IP を監視するために、IPSEC トンネルのフェーズ2のためのキープアライブメカニズムです。監視対象の IP がダウンしている場合、監視プロファイルが "フェイルオーバー" として構成されている場合、フェーズ 2 SA が削除され、ネゴシエート
PBF 監視の基本的な使用例については、次のドキュメントを参照してください。ポリシーベースの転送
PBF またはトンネル監視用の ip を選択する方法については、次のドキュメントを参照してください。 PBFまたはトンネル監視 用の ip アドレスの選択
注: PBF は、ファイアウォールからのトラフィックには適用されません。同じについては、次の文書を読む:ポリシーベースの転送は、パロアルトネットワークファイアウォールから供給されるトラフィックのために動作しません
PBF の監視を使用している間覚えておくべきヒント:
- プローブは、PBF ルールの [転送] タブで構成されている送信インターフェイスの発信元 IP アドレスで ICMP エコー要求を使用します。
- プローブはフローモジュールを通過しません。ルートルックアップ/ポリシールックアップ/nat ルックアップなど 監視が構成されているファイアウォールでは、これらのプローブには適用しないでください。
- プローブは、前述のホップ、またはトンネルインターフェイスの場合は、同じトンネルを経由して、PBF ルールで構成されているのと同じ出力インターフェイスから送信されます。
- さらに、ネットワークの下で、これらのプローブは、通常の ICMP エコー要求として扱われるべきであり、プローブが成功するためには、適切なアクセスリスト、ルートを構成する必要があります。
- ルートルックアップによって返されたインターフェイスを使用してプローブが送信されないため、監視対象の IP アドレスを CLI を使用して dataplane から ping することは、プローブ障害のモニタリングをトラブルシューティングするための有効なテストとは限りません。
- プローブは、セッション、またはトラフィックログまたはデータプレーンのデバッグログまたはソースファイアウォール上のパケットキャプチャを作成しないので、それらをチェックするために最も適切な場所は、ファイアウォールの外であることを確認してください。
- PBF の監視に IP アドレスが指定されていない場合は、次ホップルーターが監視されます。
出口インタフェースがトンネルインタフェースである場合の監視プローブの検証例を参照してください。
トポロジ
PA1 (トンネル. 1: 100.1.1.1/32) = = = = = = = = = = = = = = = = = = = = = = (トンネル 1: 100.1.1.2/32) PA2 (eth1/4: 30.1.1.1/24)
上記のシナリオでは、トンネルを介していくつかのトラフィックを転送する PA1 に PBF ルールがあります。PBF 監視は、ターゲット ip アドレスが30.1.1.1 で、リモートピアの ethernet1/4 インターフェイス IP であることが有効になっています。
PA1 のトンネルインターフェイスの構成: (IP アドレスを持っている必要があります)
PA1 上の PFB ルールのタブ設定の転送:
PA1 のルーティングテーブル (ターゲット IP 30.1.1.1 の明示的なルートはありません):
PA2 のプローブを許可するセキュリティポリシー:
PA2 上の ping を許可する ethernet1/4 の管理プロファイル:
PA2 の 100.1.1.1/32 (プローブのソース IP) のリバースルート:
検証:
ターゲットが到達可能な場合に PA1 の PBF ルールのステータス:
管理者 @ PA-200 > pbf ルール名のテストを表示する-pbf
ルール: テスト-pbf (2)
ルールの状態: アクティブ
アクション: フォワード
対称リターン: なし
出口 IF/VSYS: トンネル 1
NextHop: 0.0.0.0
モニタースロット: 1
モニタの IP: 30.1.1.1
NextHop ステータス: UP
モニタ: アクション: モニタ、間隔: 3、しきい値: 5
統計: ka 送信: 1559、ka は得た: 287、パケットが一致しました: 0
トラフィックは、ping としてプローブのトラフィックを示す PA2 にログ: (パケットを見て、カウンタを送受信)
ターゲットに到達できない場合の PA1 の PBF ルールのステータス:
管理者 @ PA-200 > pbf ルール名のテストを表示する-pbf
ルール: テスト-pbf (2)
ルールの状態: 無効
アクション: フォワード
対称リターン: なし
出口 IF/VSYS: トンネル 1
NextHop: 0.0.0.0
モニタースロット: 1
モニタの IP: 30.1.1.1
NextHop ステータス: ダウン
モニタ: アクション: モニタ、間隔: 3、しきい値: 5
統計: ka 送信: 1675、ka は得た: 342、パケットが一致しました: 0
トラフィックはまだ PA2 (パケット受信カウンタを見て) に表示されるログ:
関連する記事は:
監視ホストに到達できない場合にポリシーベースの転送ルールが適用されない
PBF 監視がトンネル IPAcross に対して有効になっている場合、PBF ルールが動作していない
デュアル Isp や VPN の自動フェールオーバーがパロ ・ アルトのネットワーク ファイアウォールを構成する方法