Entrada ARP incompleta o Firewall responde a cada solicitud de ARP en la red

Entrada ARP incompleta o Firewall responde a cada solicitud de ARP en la red

149304
Created On 09/25/18 19:36 PM - Last Modified 03/17/23 20:40 PM


Resolution


Incidencia

Puede haber dos síntomas:

  1. El cortafuegos de Palo Alto Networks tiene una entrada ARP incompleta para un host en la red (por ejemplo, puerta de enlace predeterminada):
    > Mostrar ARP todo el
    máximo de entradas admitidas: 2500
    tiempo de espera predeterminado: 1800 segundos
    entradas ARP totales en la tabla:        1
    total de entradas ARP mostradas: 1
    Estado: s-estática, c-completa, e-expiración, i-interfaz incompleta

    IP dirección HW dirección de Puerto estado TTL
    ------------------------------------------------------------------------- -------
    ethernet1/4 10.108.121.1 (incompleto) ethernet1/4 i 1

  2. El cortafuegos está respondiendo a cada solicitud ARP de la red.
    En el extremo, seleccione cualquier dirección IP aleatoria, trate de ping y verá una entrada ARP con el Firewall IP MAC:
    $ ping-w 2 10.108.121.251
    $ ping-w 2 10.108.121.252
    $ ARP-an
    ? (10.108.121.251) a las 00:1B: 17:00:04:13 [éter] en eth4
    ? (10.108.121.252) a las 00:1B: 17:00:04:13 [éter] en eth4

Causa

Es probable que hay una fuente incorrectamente configurada política NAT con una longitud de máscara que no 32. Por ejemplo, si una interfaz está configurada con IP dirección 10.108.121.2/24, entonces la IP NAT debe configurarse como 10.108.121.3/32 (con 32 máscara). La IP NAT en este ejemplo no debe ser configurada como 10.108.121.3/24.

Resolución

Con un gran número de reglas de NAT, puede ser difícil reducir la política. A continuación se describen tres métodos para identificar la regla NAT. Las dos primeras son seguras para llevar a cabo, la tercera opción consiste en que permite depura en la dataplane y debe usarse con precaución.

Método 1

Identificar la piscina que:

> Mostrar funcionamiento global ippool

Tipo de IDX de Num de Ref. CNT

---- ---------------- -------------------------------- --------------- ---   ----------

3 dinámica IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1

6 IP/portuario dinámicos 0.0.0.0-255.255.255.255 10.108.121.0256 1    

Nota: Pool 6 está utilizando 256 direcciones en la red 10.108.121.0.


Para determinar que la política, ejecute el siguiente comando, luego presione "/" (slash), luego escriba: "idx: 6" (hay espacio entre el doble colon y 6 y si es necesario volver un poco al presionar la tecla de flecha hacia arriba).

> Mostrar ejecuta nat-política

[...]

dmz_Out {

        de dmz;

        de la fuente

        al exterior;

        interfaz a ethernet1/4;

        destino;

        servicio cualquier/cualquiera/cualquiera;

        traducir a "fuente: 10.108.121.0-10.108.121.255 (dynamic-ip-y-port) (piscina idx: 6)";

        no terminal;

}

Ver que la regla incorrectamente configurada es dmz_out.

Método 2

Ejecutar un único comando, que básicamente dice el firewall a la salida de todos los nombres de regla y las traducciones de NAT de fuente, donde se utiliza un rango de IPs. En este caso, el nombre de la regla que precede a la traducción es la regla que ofende.

> Mostrar ejecuta nat-política | partido {\|src:[^\(]*-

{"Regla 1"

{en smtp04}

smtp04-out {}

smtp03-out {}

{"Outbound de Internet"

dmz_Out {

        traducir a "fuente: 10.108.121.0-10.108.121.255 (dynamic-ip-y-port) (piscina idx: 6)";

"Artículo 4" {}

{"Regla 5"

{en smtp03}

Método 3

¡Importante! Utilice con cautela, ya que este método permite desbugs en el plan de la misma.

Habilitar la depuración en DP:

> debug dataplane paquete-diag borrar todo

> debug dataplane paquete-diag conjunto filtro match no sólo ip

> debug dataplane paquete-diag conjunto filtro

> debug dataplane paquete-diag set registro característica flujo arp

> debug dataplane paquete-diag establecer registro de

> paquete diag Borrar registro registro de depuración dataplane

Después de intentar enviar la comunicación a través del firewall (o golpeteo de la puerta de enlace predeterminada de servidor de seguridad):

> host de origen 10.108.121.253 de ping 10.108.121.1

Revisar los archivos de depuración de DP:

> menos dp-log pan_task_ *

Es posible ir al siguiente archivo pulsando "n"

En algún momento, la siguiente aparece, que puede ser similar al:

Paquete recibido de ARP de Puerto ethernet1/4

Descarga descifrada de paquetes:

L2: 00:50:56:a3:10:5a-> 00: 1b:17:00:04:13, tipo 0x0806

ARP: hardware tipo 0x0001

        tipo de protocolo 0 x 0800

        tamaño del hardware 6

        tamaño de protocolo 4

        operación respuesta

        Dirección de remitente mac 00:50:56:a3:10:5a

        dirección ip del remitente 10.108.121.1

        mac de destino dirección 00:1b:17:00:04:13

        dirección ip de destino 10.108.121.253

Paquetes ARP del IP traducida en NAT regla índice 5 vsys 1

Paquete de ARP enviada a interfaz ethernet1/4 IP

ARP paquete de análisis completo, aprender: no, el objetivo de mí mismo: sí, ARP gratuito: no

En el ejemplo anterior, el firewall dice que alguien está usando la dirección IP, que firewall utiliza en la regla NAT índice 5.

Nota: el Índice 5 sólo significa políticas activas (las directivas deshabilitadas no cuentan) y se inicia desde 0. La manera más fácil es otra vez ejecutar el comando "> Show ejecutando NAT-Policy" y las políticas de conteo.

Arreglar detalles

Se trata de cómo el estado se veía en el WebGUI y CLI:

               2014-07-30 15_34_59-HQ_PAN_01.png

> show config ejecutando

[...]

dmz_Out {

     al exterior;

     de dmz;

     de la fuente

     destino;

     servicio de cualquiera;

     tipo de NAT ipv4;

     {fuente-traducción

          {} Dynamic ip y Puerto

               traducido-Dirección 10.108.121.211;

          }

     }

     interfaz a ethernet1/4;

}

De un vistazo, no hay nada malo con esta regla, sin embargo después de que alguna investigación vea que el 10.108.121.211 es realmente un objeto:

          10.108.121.211 {}

              máscara de red IP 10.108.121.211/24;

            }

Sería difícil encontrar simplemente navegando a través de la WebUI.


Cambiar la máscara de red a la uno (probablemente 32) y verificar. Ver cómo la norma después del cambio:

> Mostrar ejecuta nat-política

dmz_Out {

        de dmz;

        de la fuente

        al exterior;

        interfaz a ethernet1/4;

        destino;

        servicio cualquier/cualquiera/cualquiera;

        translate-to "src: 10.108.121.211 (Dynamic-IP-and-Port) (Pool IDX: 7)";

        no terminal;

}

> Mostrar funcionamiento global ippool

Tipo de IDX de Num de Ref. CNT

---- ---------------- -------------------------------- --------------- ---   ----------

3 dinámica IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1

7 IP dinámica/puerto 0.0.0.0-255.255.255.255 10.108.121.2111 1  

En el ejemplo anterior, observe un ID de otra agrupación utilizado por la misma regla, pero se utiliza sólo una única dirección IP.

Este comportamiento se observa sólo en PAN-OS 6.0, pero parece que funciona bien en versiones anteriores.

Propietario: rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language