Resumen
La supervisión de PBF (reenvío basado en políticas) o la supervisión del túnel sostienen una conectividad ininterrumpida a través de la ruta o túnel Pbf configurado. Para que esto se logre, los paquetes de ping se envían a una IP remota configurada para determinar si la ruta de acceso sigue siendo utilizable para la comunicación deseada.
Detalles
Para que la supervisión funcione correctamente, seleccione una dirección IP remota que se alcance a través de la ruta PBF o el túnel configurado.
Esta dirección IP puede ser cualquier dirección IP monitoreada en la red remota configurada o la dirección IP:
- En el extremo remoto del túnel.
- Del próximo salto.
Nota: los paquetes de ping se originan desde la interfaz del túnel local (para la supervisión del túnel) o la interfaz configurada como la interfaz de salida (para la supervisión de PBF). Generalmente, el monitoreo de túneles se utiliza desde un firewall de redes palo alto a otro cortafuegos de Palo Alto Networks. Si se utiliza la supervisión del túnel de Palo Alto Networks en un cortafuegos de red no palo alto, se deben cumplir requisitos adicionales para la supervisión del túnel para trabajar con la configuración de supervisión de túnel en el cortafuegos de Palo Alto Networks. Asegúrese de que los siguientes elementos estén en su lugar:
- Una política que permite pings desde la dirección IP del túnel de Firewall de Palo Alto Networks al otro dispositivo.
- Identificadores proxy configurados para el tráfico monitoreado en ambos dispositivos:
- En el cortafuegos de Palo Alto Networks, el identificador local es la IP del túnel y la IP remota es la dirección IP del túnel del otro dispositivo o la dirección IP de un nodo detrás del otro dispositivo (lo que se está monitoreando).
- Los ID de proxy del otro dispositivo deben ser una imagen espejada de lo que se ha especificado bajo el cortafuegos de Palo Alto Networks.
Si está utilizando cualquier dirección IP supervisada en la red remota, la dirección local de túnel/salida no necesita estar en la misma subred que la dirección monitorizada. El monitoreo seguirá trabajando siempre y cuando el dispositivo monitorizado esté configurado para responder a pings y sea accesible a través del túnel o PBF.
También mire este artículo en el que la supervisión de PBF a través del túnel no funciona debido a las subredes superpuestas: la regla PBF no funciona cuando PBF monitoreo está habilitado para el IPAcross del túnel
Propietario: tasonibare