Unvollständige ARP-Eintrag oder eine Firewall reagiert auf jede ARP-Anforderung im Netzwerk

Unvollständige ARP-Eintrag oder eine Firewall reagiert auf jede ARP-Anforderung im Netzwerk

149300
Created On 09/25/18 19:36 PM - Last Modified 03/17/23 20:40 PM


Resolution


Problem

Zwei Symptome können sein:

  1. Die Palo Alto Networks Firewall hat einen unvollständigen ARP-Eintrag für einen Host im Netzwerk (zum Beispiel Standard-Gateway):
    > zeigen Sie ARP alle
    maximal Einträge unterstützt: 2500
    Default Timeout: 1800 Sekunden
    Gesamt-ARP-Einträge in Tabelle:        1
    Gesamt-ARP-Einträge angezeigt: 1
    Status: s-statisch, c-komplett, e-Expiring, i-unvollständige

    Schnittstelle IP-Adresse HW Adresse Port Status TTL
    ------------------------------------------------------------------------- -------
    Ethernet1/4 10.108.121.1 (unvollständig) Ethernet1/4 i 1

  2. Die Firewall reagiert auf jede ARP-Anfrage im Netzwerk.
    Wählen Sie am Endpunkt jede zufällige IP-Adresse aus, versuchen Sie Sie zu Ping und Sie sehen einen ARP-Eintrag mit der Firewall-IP
    -Mac: $ Ping-w 2 10.108.121.251
    $ Ping-w 2 10.108.121.252
    $ ARP-an
    ? (10.108.121.251) um 00:1B: 17:00:04:13 [Ether] on eth4
    ? (10.108.121.252) um 00:1B: 17:00:04:13 [Ether] on eth4

Ursache

Es ist wahrscheinlich, es gibt eine falsch konfigurierte Quelle NAT Politik mit die Maskenlänge nicht 32. Zum Beispiel, wenn eine Schnittstelle mit IP-Adresse 10.108.121.2/24 konfiguriert ist, dann die NAT IP sollte konfiguriert werden als 10.108.121.3/32 (mit 32 Maske). Die NAT IP in diesem Beispiel sollte nicht als 10.108.121.3/24 konfiguriert werden.

Lösung

Mit einer großen Anzahl von NAT-Regeln kann es schwierig zu verengen die Politik sein. Drei Methoden, die NAT-Regel zu identifizieren sind nachfolgend beschrieben. Die ersten beiden sind sicher durchführen, die dritte Option beinhaltet aktivieren Debug auf der Dataplane und sollte vorsichtig verwendet werden.

Methode 1

Den säumigen Pool zu identifizieren:

> Show läuft global-Ippool

IDX Typ von Num Ref. CNT

---- ---------------- -------------------------------- --------------- ---   ----------

3 dynamische IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1

6 Dynamic IP/Port 0.0.0.0-255.255.255.255 10.108.121.0256 1    

Hinweis: Pool 6 verwendet 256 Adressen in 10.108.121.0 Network.


Um festzustellen, welche Politik, führen Sie den folgenden Befehl, und drücken Sie dann "/" (Schrägstrich), geben Sie dann: "Idx: 6" (es gibt Raum zwischen doppelten Doppelpunkt und 6 und wenn nötig, zurück zu gehen ein wenig durch Drücken der Pfeiltaste).

> Show läuft Nat-Politik

[...]

dmz_Out {

        von dmz;

        jede Quelle;

        nach außen;

        zu-Interface ethernet1/4;

        Ziel jeder;

        Service jede/jeder/jede;

        übersetzen zu "Src: 10.108.121.0-10.108.121.255 (dynamische Ip-und-Port) (Pool-Idx: 6)";

        Klemme Nr.;

}

Sehen Sie, dass die Regel falsch konfigurierte Dmz_out.

Methode 2

Führen Sie einen Befehl, der im Grunde die Firewall zur Ausgabe aller Regelnamen und Src NAT Übersetzungen sagt, bei denen eine Reihe von IP-Adressen verwendet. In diesem Fall gilt der Regelname, der die Übersetzung vorangeht beleidigen.

> Show läuft Nat-Politik | passen {\|src:[^\(]*-

"Regel 1" {}

smtp04-in {}

smtp04-Out {}

smtp03-Out {}

"Internet ausgehenden" {}

dmz_Out {

        übersetzen zu "Src: 10.108.121.0-10.108.121.255 (dynamische Ip-und-Port) (Pool-Idx: 6)";

"Regel 4" {}

"5-Regel" {}

smtp03-in {}

Methode 3

Wichtig! Verwenden Sie vorsichtig, da diese Methode debugs auf dem dataplane ermöglicht.

Aktivieren Sie Debuggen auf DP:

> Debug Dataplane Paket-Diag verwerfen

> Dataplane Paket-Diag Filter setzen Spiel nicht-IP-nur zu debuggen

> Debug Dataplane Paket-Diag Filter setzen auf

> Debug Dataplane Paket-Diag Set Protokollfunktion fließen Arp

> Debug Dataplane Paket-Diag Set anmelden

> Debug Dataplane Paket-Diag klar Log Log

Nach dem Versuch, die Kommunikation durch die Firewall (oder von der Firewall-Standardgateway Ping) senden:

> Ping 10.108.121.253 Quellhost 10.108.121.1

Überprüfen Sie die DP-Debug-Dateien:

> weniger dp-Protokoll-Pan_task_ *

Es ist möglich, um die nächste Datei gehen Sie durch Drücken der Taste "n"

An einem gewissen Punkt erscheint die folgende, die möglicherweise ähnlich:

Erhaltene ARP-Paket von Port ethernet1/4

Decodierte Packet Dump:

L2: 00:50:56:a3:10:5a-> 00: 1b:17:00:04:13, Typ 0x0806

ARP: Hardware-Typ 0x0001

        Protokoll-Typ 0x0800

        Hardware-Größe 6

        Protokoll-Größe 4

        Opcode Antwort

        Absender-Mac-Adresse 00:50:56:a3:10:5a

        Absender IP-Adresse 10.108.121.1

        Ziel-Mac-Adresse 00:1b:17:00:04:13

        Ziel-Ip-Adresse 10.108.121.253

ARP-Paket gesendet von übersetzten IP NAT Regel Index 5 in Vsys 1

ARP-Paket gesendet ethernet1/4 Schnittstellen zu IP

ARP Packet parieren komplett, lernen: Nein, Ziel mir selbst: Ja, grundlos ARP: Nein

Im obigen Beispiel besagt die Firewall, dass jemand die IP-Adresse, welche Firewall im NAT-Regel verwendet wird index 5 verwendet.

Hinweis: Index 5 bedeutet nur aktive Policen (Behinderten Richtlinien zählen nicht) und es beginnt bei 0. Der einfachste Weg ist es, wieder Befehl "> laufen von NAT-Policy" und Zähl Richtlinien auszuführen.

Details zu beheben

Dies ist, wie die Regel in der WebGUI und CLI aussah:

               2014-07-30 15_34_59-HQ_PAN_01.png

> zeigen Config ausgeführt

[...]

dmz_Out {

     nach außen;

     von dmz;

     jede Quelle;

     Ziel jeder;

     jede Dienstleistung;

     NAT-Typ ipv4;

     Quelle-Übersetzung {}

          dynamische Ip und Port {}

               10.108.121.211 übersetzt-Adresse;

          }

     }

     zu-Interface ethernet1/4;

}

Auf einen Blick ist an dieser Regel nichts auszusetzen, aber nach einigen Untersuchungen sehen, dass die 10.108.121.211 wirklich ein Objekt ist:

          10.108.121.211 {}

              IP-Netzmaske 10.108.121.211/24;

            }

Das wäre schwierig, nur durch browsing durch die WebUI zu finden.


Ändern Sie die Netzmaske in den entsprechenden einer (am ehesten 32) und zu überprüfen. Sehen Sie, wie die Regel nach der Änderung aussieht:

> Show läuft Nat-Politik

dmz_Out {

        von dmz;

        jede Quelle;

        nach außen;

        zu-Interface ethernet1/4;

        Ziel jeder;

        Service jede/jeder/jede;

        Übersetzen-auf "src: 10.108.121.211 (Dynamic-IP-and-Port) (Pool IDX: 7)";

        Klemme Nr.;

}

> Show läuft global-Ippool

IDX Typ von Num Ref. CNT

---- ---------------- -------------------------------- --------------- ---   ----------

3 dynamische IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1

7 Dynamic IP/Port 0.0.0.0-255.255.255.255 10.108.121.2111 1  

Im obigen Beispiel beachten Sie eine anderen Pool-ID von der selben Regel verwendet, aber nur eine einzige IP-Adresse verwendet.

Dieses Verhalten ist nur in PAN-OS 6.0 gesehen, aber scheint zu funktionieren in früheren Versionen.

Besitzer: Rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language