PBF およびトンネル監視プローブの動作について

PBF監視プローブは、ターゲット ip アドレスまたは次ホップ ip アドレスへの接続を確認するために dataplane によって生成されます。  ターゲット IP アドレスが到達可能な場合、PBF ルールは、トラフィックが通常のルートルックアップフェーズを通過する他の適用されます。 

 

同様に、トンネル監視プローブは、トンネル上のリモート IP を監視するために、IPSEC トンネルのフェーズ2のためのキープアライブメカニズムです。監視対象の IP がダウンしている場合、監視プロファイルが "フェイルオーバー" として構成されている場合、フェーズ 2 SA が削除され、ネゴシエート

 

PBF 監視の基本的な使用例については、次のドキュメントを参照してください。ポリシーベースの転送

 

PBF またはトンネル監視用の ip を選択する方法については、次のドキュメントを参照してください。 PBFまたはトンネル監視 用の ip アドレスの選択

 

注: PBF は、ファイアウォールからのトラフィックには適用されません。同じについては、次の文書を読む:ポリシーベースの転送は、パロアルトネットワークファイアウォールから供給されるトラフィックのために動作しません

 

 

PBF の監視を使用している間覚えておくべきヒント:

• プローブは、PBF ルールの [転送] タブで構成されている送信インターフェイスの発信元 IP アドレスで ICMP エコー要求を使用します。

• プローブはフローモジュールを通過しません。ルートルックアップ/ポリシールックアップ/nat ルックアップなど 監視が構成されているファイアウォールでは、これらのプローブには適用しないでください。

• プローブは、前述のホップ、またはトンネルインターフェイスの場合は、同じトンネルを経由して、PBF ルールで構成されているのと同じ出力インターフェイスから送信されます。

• さらに、ネットワークの下で、これらのプローブは、通常の ICMP エコー要求として扱われるべきであり、プローブが成功するためには、適切なアクセスリスト、ルートを構成する必要があります。

• ルートルックアップによって返されたインターフェイスを使用してプローブが送信されないため、監視対象の IP アドレスを CLI を使用して dataplane から ping することは、プローブ障害のモニタリングをトラブルシューティングするための有効なテストとは限りません。

• プローブは、セッション、またはトラフィックログまたはデータプレーンのデバッグログまたはソースファイアウォール上のパケットキャプチャを作成しないので、それらをチェックするために最も適切な場所は、ファイアウォールの外であることを確認してください。

• PBF の監視に IP アドレスが指定されていない場合は、次ホップルーターが監視されます。

 

出口インタフェースがトンネルインタフェースである場合の監視プローブの検証例を参照してください。

 

トポロジ

PA1 (トンネル. 1: 100.1.1.1/32) = = = = = = = = = = = = = = = = = = = = = = (トンネル 1: 100.1.1.2/32) PA2 (eth1/4: 30.1.1.1/24)

 

上記のシナリオでは、トンネルを介していくつかのトラフィックを転送する PA1 に PBF ルールがあります。PBF 監視は、ターゲット ip アドレスが30.1.1.1 で、リモートピアの ethernet1/4 インターフェイス IP であることが有効になっています。

 

 

PA1 のトンネルインターフェイスの構成: (IP アドレスを持っている必要があります)

 

 

 

PA1 上の PFB ルールのタブ設定の転送:

 

 

 

PA1 のルーティングテーブル (ターゲット IP 30.1.1.1 の明示的なルートはありません):

 

 

 

PA2 のプローブを許可するセキュリティポリシー:

 

 

 

PA2 上の ping を許可する ethernet1/4 の管理プロファイル:

 

 

 

PA2 の 100.1.1.1/32 (プローブのソース IP) のリバースルート:

 

 

検証：

 

ターゲットが到達可能な場合に PA1 の PBF ルールのステータス:

 

管理者 @ PA-200 > pbf ルール名のテストを表示する-pbf

 

ルール:               テスト-pbf (2)

ルールの状態: アクティブ               

アクション:             フォワード

対称リターン:   なし

出口 IF/VSYS:     トンネル 1

NextHop:            0.0.0.0

モニタースロット: 1     

モニタの IP: 30.1.1.1       

NextHop ステータス: UP          

モニタ:            アクション: モニタ、間隔: 3、しきい値: 5

統計:              ka 送信: 1559、ka は得た: 287、パケットが一致しました: 0

 

 

トラフィックは、ping としてプローブのトラフィックを示す PA2 にログ: (パケットを見て、カウンタを送受信)

 

 

 

ターゲットに到達できない場合の PA1 の PBF ルールのステータス:

 

管理者 @ PA-200 > pbf ルール名のテストを表示する-pbf

 

ルール:               テスト-pbf (2)

ルールの状態:         無効

アクション:             フォワード

対称リターン:   なし

出口 IF/VSYS:     トンネル 1

NextHop:            0.0.0.0

モニタースロット: 1     

モニタの IP: 30.1.1.1       

NextHop ステータス: ダウン             

モニタ:            アクション: モニタ、間隔: 3、しきい値: 5

統計:              ka 送信: 1675、ka は得た: 342、パケットが一致しました: 0

 

トラフィックはまだ PA2 (パケット受信カウンタを見て) に表示されるログ:

 

 

関連する記事は：

 

監視ホストに到達できない場合にポリシーベースの転送ルールが適用されない

PBF 監視がトンネル IPAcross に対して有効になっている場合、PBF ルールが動作していない

デュアル Isp や VPN の自動フェールオーバーがパロ ・ アルトのネットワーク ファイアウォールを構成する方法