Auswahl einer IP-Adresse für PBF oder Tunnel Überwachung

Übersicht

Die PBF-Überwachung oder TunnelÜberwachung hält die ununterbrochene Konnektivität über den konfigurierten PBF-Pfad oder Tunnel aufrecht. Damit dies erreicht werden können, werden Ping-Pakete an eine konfigurierte Remote-IP gesendet, um festzustellen, ob der Pfad für die gewünschte Kommunikation noch nutzbar ist.

Details

Damit die Überwachung einwandfrei funktioniert, wählen Sie eine entfernte IP-Adresse, die über den PBF-Pfad oder den konfigurierten Tunnel erreichbar ist.

Diese IP-Adresse kann jede überwachte IP-Adresse im konfigurierten Remote-Netzwerk oder der IP-Adresse sein:

• Am abgelegenen Ende des Tunnels.
• Des nächsten Hopfens.

Hinweis: die Ping-Pakete werden von der lokalen Tunnel Schnittstelle (für die Tunnelüberwachung) oder der als Egress-Schnittstelle konfigurierten Schnittstelle (für PBF-Überwachung) bezogen. In der Regel wird die Tunnelüberwachung von einer Palo Alto Networks Firewall zu einer anderen Palo Alto Networks Firewall verwendet. Wenn die Tunnelüberwachung von Palo Alto Networks auf eine Firewall mit nicht-Palo Alto-Netzen verwendet wird, müssen zusätzliche Anforderungen an die Tunnelüberwachung erfüllt werden, um mit der Tunnel Überwachungskonfiguration auf der Palo Alto Networks Firewall zu arbeiten. Vergewissern Sie sich, dass Folgendes vorhanden ist:

• EINE Richtlinie, die Pings aus der IP-Adresse des Palo Alto Networks Firewall-Tunnels auf das andere Gerät erlaubt.
• Konfigurierte Proxy-IDs für den überwachten Verkehr auf beiden Geräten:
  • Auf der Palo Alto Networks Firewall ist die lokale ID die IP des Tunnels, und die entfernte IP ist entweder die Tunnel IP-Adresse des anderen Geräts oder die IP-Adresse eines Knotens hinter dem anderen Gerät (je nachdem, was überwacht wird).
  • Die Proxy-IDs auf dem anderen Gerät müssen ein Spiegelbild dessen sein, was unter der Palo Alto Networks Firewall angegeben wurde.

Wenn Sie eine überwachte IP-Adresse auf dem entfernten Netzwerk verwenden, muss die lokale Tunnel-/Egress-Adresse nicht im selben Subnetz wie die überwachte Adresse sein. Die Überwachung wird weiterhin funktionieren, solange das überwachte Gerät so konfiguriert ist, dass es auf Pings reagiert und über den Tunnel oder die PBF erreichbar ist.

Schauen Sie sich auch diesen Artikel an, in dem PBF-Überwachung durch Tunnel aufgrund überlappender Subnetze nicht funktioniert: PBF-Regel funktioniert nicht, wenn die PBF-Überwachung für den Ipacross-Tunnel aktiviert ist .

Besitzer: Tasonibare