Entrada ARP incompleta o Firewall responde a cada solicitud de ARP en la red
Resolution
Incidencia
Puede haber dos síntomas:
- El cortafuegos de Palo Alto Networks tiene una entrada ARP incompleta para un host en la red (por ejemplo, puerta de enlace predeterminada):
> Mostrar ARP todo el
máximo de entradas admitidas: 2500
tiempo de espera predeterminado: 1800 segundos
entradas ARP totales en la tabla: 1
total de entradas ARP mostradas: 1
Estado: s-estática, c-completa, e-expiración, i-interfaz incompleta
IP dirección HW dirección de Puerto estado TTL
------------------------------------------------------------------------- -------
ethernet1/4 10.108.121.1 (incompleto) ethernet1/4 i 1 - El cortafuegos está respondiendo a cada solicitud ARP de la red.
En el extremo, seleccione cualquier dirección IP aleatoria, trate de ping y verá una entrada ARP con el Firewall IP MAC:
$ ping-w 2 10.108.121.251
$ ping-w 2 10.108.121.252
$ ARP-an
? (10.108.121.251) a las 00:1B: 17:00:04:13 [éter] en eth4
? (10.108.121.252) a las 00:1B: 17:00:04:13 [éter] en eth4
Causa
Es probable que hay una fuente incorrectamente configurada política NAT con una longitud de máscara que no 32. Por ejemplo, si una interfaz está configurada con IP dirección 10.108.121.2/24, entonces la IP NAT debe configurarse como 10.108.121.3/32 (con 32 máscara). La IP NAT en este ejemplo no debe ser configurada como 10.108.121.3/24.
Resolución
Con un gran número de reglas de NAT, puede ser difícil reducir la política. A continuación se describen tres métodos para identificar la regla NAT. Las dos primeras son seguras para llevar a cabo, la tercera opción consiste en que permite depura en la dataplane y debe usarse con precaución.
Método 1
Identificar la piscina que:
> Mostrar funcionamiento global ippool
Tipo de IDX de Num de Ref. CNT
---- ---------------- -------------------------------- --------------- --- ----------
3 dinámica IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1
6 IP/portuario dinámicos 0.0.0.0-255.255.255.255 10.108.121.0256 1
Nota: Pool 6 está utilizando 256 direcciones en la red 10.108.121.0.
Para determinar que la política, ejecute el siguiente comando, luego presione "/" (slash), luego escriba: "idx: 6" (hay espacio entre el doble colon y 6 y si es necesario volver un poco al presionar la tecla de flecha hacia arriba).
> Mostrar ejecuta nat-política
[...]
dmz_Out {
de dmz;
de la fuente
al exterior;
interfaz a ethernet1/4;
destino;
servicio cualquier/cualquiera/cualquiera;
traducir a "fuente: 10.108.121.0-10.108.121.255 (dynamic-ip-y-port) (piscina idx: 6)";
no terminal;
}
Ver que la regla incorrectamente configurada es dmz_out.
Método 2
Ejecutar un único comando, que básicamente dice el firewall a la salida de todos los nombres de regla y las traducciones de NAT de fuente, donde se utiliza un rango de IPs. En este caso, el nombre de la regla que precede a la traducción es la regla que ofende.
> Mostrar ejecuta nat-política | partido {\|src:[^\(]*-
{"Regla 1"
{en smtp04}
smtp04-out {}
smtp03-out {}
{"Outbound de Internet"
dmz_Out {
traducir a "fuente: 10.108.121.0-10.108.121.255 (dynamic-ip-y-port) (piscina idx: 6)";
"Artículo 4" {}
{"Regla 5"
{en smtp03}
Método 3
¡Importante! Utilice con cautela, ya que este método permite desbugs en el plan de la misma.
Habilitar la depuración en DP:
> debug dataplane paquete-diag borrar todo
> debug dataplane paquete-diag conjunto filtro match no sólo ip
> debug dataplane paquete-diag conjunto filtro
> debug dataplane paquete-diag set registro característica flujo arp
> debug dataplane paquete-diag establecer registro de
> paquete diag Borrar registro registro de depuración dataplane
Después de intentar enviar la comunicación a través del firewall (o golpeteo de la puerta de enlace predeterminada de servidor de seguridad):
> host de origen 10.108.121.253 de ping 10.108.121.1
Revisar los archivos de depuración de DP:
> menos dp-log pan_task_ *
Es posible ir al siguiente archivo pulsando "n"
En algún momento, la siguiente aparece, que puede ser similar al:
Paquete recibido de ARP de Puerto ethernet1/4
Descarga descifrada de paquetes:
L2: 00:50:56:a3:10:5a-> 00: 1b:17:00:04:13, tipo 0x0806
ARP: hardware tipo 0x0001
tipo de protocolo 0 x 0800
tamaño del hardware 6
tamaño de protocolo 4
operación respuesta
Dirección de remitente mac 00:50:56:a3:10:5a
dirección ip del remitente 10.108.121.1
mac de destino dirección 00:1b:17:00:04:13
dirección ip de destino 10.108.121.253
Paquetes ARP del IP traducida en NAT regla índice 5 vsys 1
Paquete de ARP enviada a interfaz ethernet1/4 IP
ARP paquete de análisis completo, aprender: no, el objetivo de mí mismo: sí, ARP gratuito: no
En el ejemplo anterior, el firewall dice que alguien está usando la dirección IP, que firewall utiliza en la regla NAT índice 5.
Nota: el Índice 5 sólo significa políticas activas (las directivas deshabilitadas no cuentan) y se inicia desde 0. La manera más fácil es otra vez ejecutar el comando "> Show ejecutando NAT-Policy" y las políticas de conteo.
Arreglar detalles
Se trata de cómo el estado se veía en el WebGUI y CLI:
> show config ejecutando
[...]
dmz_Out {
al exterior;
de dmz;
de la fuente
destino;
servicio de cualquiera;
tipo de NAT ipv4;
{fuente-traducción
{} Dynamic ip y Puerto
traducido-Dirección 10.108.121.211;
}
}
interfaz a ethernet1/4;
}
De un vistazo, no hay nada malo con esta regla, sin embargo después de que alguna investigación vea que el 10.108.121.211 es realmente un objeto:
10.108.121.211 {}
máscara de red IP 10.108.121.211/24;
}
Sería difícil encontrar simplemente navegando a través de la WebUI.
Cambiar la máscara de red a la uno (probablemente 32) y verificar. Ver cómo la norma después del cambio:
> Mostrar ejecuta nat-política
dmz_Out {
de dmz;
de la fuente
al exterior;
interfaz a ethernet1/4;
destino;
servicio cualquier/cualquiera/cualquiera;
translate-to "src: 10.108.121.211 (Dynamic-IP-and-Port) (Pool IDX: 7)";
no terminal;
}
> Mostrar funcionamiento global ippool
Tipo de IDX de Num de Ref. CNT
---- ---------------- -------------------------------- --------------- --- ----------
3 dinámica IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1
7 IP dinámica/puerto 0.0.0.0-255.255.255.255 10.108.121.2111 1
En el ejemplo anterior, observe un ID de otra agrupación utilizado por la misma regla, pero se utiliza sólo una única dirección IP.
Este comportamiento se observa sólo en PAN-OS 6.0, pero parece que funciona bien en versiones anteriores.
Propietario: rweglarz