Vue d’ensemble
PBF (transfert de stratégie) la surveillance ou la surveillance de tunnels maintient une connectivité ininterrompue via le chemin d'accès ou le tunnel PBF configuré. Pour cela, les paquets ping sont envoyés à une adresse IP distante configurée pour déterminer si le chemin d'accès est toujours utilisable pour la communication souhaitée.
Détails
Pour que la surveillance fonctionne correctement, sélectionnez une adresse IP distante accessible via le chemin d'accès PBF ou le tunnel configuré.
Cette adresse IP peut être n'importe quelle adresse IP surveillée dans le réseau distant configuré ou l'adresse IP:
- Sur l'extrémité éloignée du tunnel.
- Du prochain saut.
Remarque: les paquets ping proviennent de l'interface du tunnel local (pour la surveillance du tunnel) ou de l'interface configurée comme interface de sortie (pour la surveillance PBF). Généralement, la surveillance du tunnel est utilisée à partir d'un pare-feu de Palo Alto Networks à un autre pare-feu de Palo Alto Networks. Si vous utilisez la surveillance de tunnel de Palo Alto Networks à un pare-feu non Palo Alto Networks, des exigences supplémentaires doivent être remplies pour la surveillance du tunnel pour travailler avec la configuration de surveillance du tunnel sur le pare-feu de Palo Alto Networks. Assurez-vous que les éléments suivants sont en place:
- Une politique autorisant les pings de l'adresse IP du tunnel du pare-feu de Palo Alto Networks à L'autre périphérique.
- ID proxy configurés pour le trafic surveillé sur les deux périphériques:
- Sur le pare-feu de Palo Alto Networks, l'ID local est l'ip du tunnel, et l'ip à distance est soit l'adresse IP du tunnel de L'autre périphérique, soit l'adresse IP d'un noeud derrière L'autre périphérique (selon la surveillance).
- Les ID de proxy sur L'autre périphérique doivent être une image miroir de ce qui a été spécifié sous le pare-feu de Palo Alto Networks.
Si vous utilisez une adresse IP surveillée sur le réseau distant, l'adresse de tunnel/sortie locale n'a pas besoin d'être dans le même sous-réseau que l'adresse surveillée. La surveillance fonctionnera toujours aussi longtemps que le dispositif surveillé est configuré pour répondre aux pings et est accessible par le tunnel ou PBF.
Regardez également cet article dans lequel la surveillance PBF par le tunnel ne fonctionne pas en raison des sous-réseaux qui se chevauchent: PBF règle ne fonctionne pas lorsque PBF Monitoring est activé pour le IPAcross le tunnel
propriétaire : tasonibare