概述
PBF (基于策略的转发) 监视或隧道监视通过配置的 PBF 路径或隧道维持不间断的连接。为此, ping 数据包将发送到配置的远程 IP, 以确定路径是否仍可用于所需通信。
详细
要使监视工作正常, 请选择通过 PBF 路径或配置的隧道可到达的远程 IP 地址。
此 ip 地址可以是配置的远程网络或 ip 地址中的任何受监视的 ip 地址:
注意: ping 数据包来自本地隧道接口 (用于隧道监视), 或者是配置为出口接口 (用于 PBF 监视) 的接口. 通常, 隧道监视是使用从帕洛阿尔托网络防火墙到另一个帕洛阿尔托网络防火墙。如果将帕洛阿尔托网络隧道监视到非帕洛阿尔托网络防火墙, 则隧道监视必须满足额外的要求, 才能与帕洛阿尔托网络防火墙上的隧道监视配置配合使用。确保以下内容到位:
- 允许 ping 从帕洛阿尔托网络防火墙隧道的 IP 地址到另一个设备的策略。
- 已为两个设备上监视的通信量配置代理 id:
- 在帕洛阿尔托网络防火墙上, 本地 ID 是隧道的 ip, 远程 IP 是另一个设备的隧道 ip 地址或其他设备后面的节点的 ip 地址 (无论是监视哪个)。
- 另一个设备上的代理 id 必须是在帕洛阿尔托网络防火墙下指定的镜像映像。
如果在远程网络上使用任何受监视的 IP 地址, 则本地隧道/出口地址不需要与被监视的地址位于同一子网中。只要被监视的设备配置为响应 ping, 并且通过隧道或 PBF 可到达, 监视工作仍将正常进行。
还可以查看这篇文章, 其中 PBF 通过隧道进行监视不起作用, 原因是重叠子网: PBF 规则在为 IPAcross 隧道启用 PBF 监视时不起作用
所有者: tasonibare