Entrée ARP incomplète ou pare-feu répond à toute demande d’ARP sur le réseau

Entrée ARP incomplète ou pare-feu répond à toute demande d’ARP sur le réseau

149292
Created On 09/25/18 19:36 PM - Last Modified 03/17/23 20:40 PM


Resolution


Demande client

Il peut y avoir deux symptômes :

  1. Le pare-feu de Palo Alto Networks a une entrée ARP incomplète pour un hôte sur le réseau (par exemple, passerelle par défaut):
    > Afficher ARP tout le
    maximum d'entrées prises en charge: 2500
    timeout par défaut: 1800 secondes
    total des entrées ARP dans le tableau:        1
    entrées ARP totales affichées: 1
    État: s-static, c-Complete, e-expirant, i-interface incomplète

    adresse IP HW adresse du port TTL
    ------------------------------------------------------------------------- -------
    ethernet1/4 10.108.121.1 (incomplet) ethernet1/4 i 1

  2. Le pare-feu répond à toutes les requêtes ARP sur le réseau.
    Sur le point de terminaison, sélectionnez une adresse IP aléatoire, essayez de le ping et vous verrez une entrée ARP avec le pare-feu IP Mac:
    $ ping-w 2 10.108.121.251
    $ ping-w 2 10.108.121.252
    $ ARP-an
    ? (10.108.121.251) à 00:1b: 17:00:04:13 [éther] sur ETH4
    ? (10.108.121.252) à 00:1b: 17:00:04:13 [Ether] sur ETH4

Cause

Il est probable, il y a une source mal configurée politique NAT d’une longueur de masque qui n’est pas 32. Par exemple, si une interface est configurée avec IP adresse 10.108.121.2/24, puis l’IP NAT doit être configuré comme 10.108.121.3/32 (avec 32 masque). L’IP NAT dans cet exemple ne doit pas être configuré comme 10.108.121.3/24.

Résolution

Avec un grand nombre de règles NAT, il peut être difficile d’affiner la politique. Trois méthodes pour identifier la règle NAT sont décrites ci-dessous. Les deux premiers sont sûrs à effectuer, la troisième option consiste à activation débogue sur le dataplane et doit être utilisée avec prudence.

Méthode n ° 1

Identifier la piscine incriminée :

> spectacle en cours d’exécution global-ippool

Idx Type à Num Ref. CNT

---- ---------------- -------------------------------- --------------- ---   ----------

3 dynamique IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1

6 IP dynamique/port 0.0.0.0-255.255.255.255 10.108.121.0256 1    

Remarque: le pool 6 utilise 256 adresses dans le réseau 10.108.121.0.


Pour déterminer quelle politique, exécutez la commande suivante, puis appuyez sur « / » (slash), puis tapez : « idx : 6"(il y a l’espace entre le double signe deux-points et 6 et si nécessaire de revenir un peu en appuyant sur la touche flèche haut).

> Voir l’exécute nat-politique

[...]

dmz_Out {

        de dmz ;

        source de tout ;

        vers l’extérieur ;

        à interface ethernet1/4 ;

        destination tout ;

        service tout/tous/toutes ;

        traduire-à « src : 10.108.121.0-10.108.121.255 (dynamique-ip-et-port) (piscine idx : 6) » ;

        borne n° ;

}

Voir que la règle mal configurée est dmz_out.

Méthode n ° 2

Exécuter une seule commande, laquelle raconte essentiellement le pare-feu à la sortie de tous les noms de règle et les traductions de src NAT, où une plage d’adresses IP est utilisé. Dans ce cas, le nom de la règle qui précède la traduction est la règle incriminée.

> Voir l’exécute nat-politique | correspond à {\|src:[^\(]*-

{« Règle 1 »

smtp04-in {}

{smtp04-out

{smtp03-out

{« Internet sortant »

dmz_Out {

        traduire-à « src : 10.108.121.0-10.108.121.255 (dynamique-ip-et-port) (piscine idx : 6) » ;

{« Règle 4 »

{« Article 5 »

smtp03-in {}

Méthode 3

Important! Utilisez prudemment, car cette méthode permet des débogues sur le dataplane.

Activer le débogage sur DP :

> débogage dataplane paquets-diag tout effacer

> debug dataplane paquets-diag régler le filtre match non ip seulement

> débogage dataplane paquets-diag régler le filtre sur

> débogage dataplane paquets-diag journal set caractéristique débit arp

> Journal set de débogage dataplane paquets-diag sur

> Effacer le Journal Journal de débogage dataplane paquets-diag

Après avoir essayé d’envoyer la communication via le pare-feu (ou ping de la passerelle de pare-feu par défaut) :

> hôte source 10.108.121.253 de ping 10.108.121.1

Examinez les fichiers de débogage de DP :

> moins dp-journal pan_task_ *

Il est possible de passer au fichier suivant en appuyant sur « n »

À un certain moment, apparaît le texte suivant, qui peut être semblable à :

Paquet reçu de ARP du port ethernet1/4

Benne basculante, paquet décodé :

L2 : 00:50:56:a3:10:5a-> 00 : 1b:17:00:04:13, tapez 0x0806

ARP : type de matériel 0 x 0001

        type de protocole 0 x 0800

        taille de matériel 6

        taille de protocole 4

        opcode répondre

        adresse de l’expéditeur mac 00:50:56:a3:10:5a

        adresse ip de l’expéditeur 10.108.121.1

        cibler la mac adresse 00:1b:17:00:04:13

        adresse ip cible 10.108.121.253

Paquet ARP venue traduit IP NAT règle 5 dans répertoire vsys 1

Les paquets ARP envoyés à l’interface ethernet1/4 IP

Paquet ARP parse complet, apprendre: non, cible moi-même: Oui, gratuit ARP: non

Dans l’exemple ci-dessus, le pare-feu déclare que quelqu'un utilise l’adresse IP, quel pare-feu qu’il utilise dans la règle NAT index 5.

Remarque: l' index 5 signifie uniquement les stratégies actives (les stratégies désactivées ne comptent pas) et commence à partir de 0. Le moyen le plus simple est de lancer à nouveau la commande "> Show en cours d'exécution NAT-Policy" et les politiques de comptage.

Difficulté de détails

C’est quoi la règle ressemblait au WebGUI et CLI :

               2014-07-30 15_34_59-HQ_PAN_01.png

> Voir la config en cours d’exécution

[...]

dmz_Out {

     vers l’extérieur ;

     de dmz ;

     source de tout ;

     destination tout ;

     service tout ;

     type de nat ipv4 ;

     {source-traduction

          ip-dynamique / port {}

               traduit-adresse 10.108.121.211 ;

          }

     }

     à interface ethernet1/4 ;

}

En un coup d'œil, il n'y a rien de mal à cette règle, cependant, après une enquête voir que le 10.108.121.211 est vraiment un objet:

          10.108.121.211 {}

              IP-netmask 10.108.121.211/24 ;

            }

Ce serait difficile de trouver simplement en parcourant le WebUI.


Modifier le masque de réseau pour le cas échéant un (probablement 32) et vérifier. Voyez comment la règle ressemble après le changement :

> Voir l’exécute nat-politique

dmz_Out {

        de dmz ;

        source de tout ;

        vers l’extérieur ;

        à interface ethernet1/4 ;

        destination tout ;

        service tout/tous/toutes ;

        translate-to "SRC: 10.108.121.211 (Dynamic-IP-and-Port) (pool idx: 7)";

        borne n° ;

}

> spectacle en cours d’exécution global-ippool

Idx Type à Num Ref. CNT

---- ---------------- -------------------------------- --------------- ---   ----------

3 dynamique IP/Port 0.0.0.0-255.255.255.255 10.108.121.5 1 1

7 Dynamic IP/port 0.0.0.0-255.255.255.255 10.108.121.2111 1  

Dans l’exemple ci-dessus, notez un ID de piscine différentes utilisé par la même règle, mais seulement une seule adresse IP est utilisée.

Ce comportement est vu seulement dans PAN-OS 6.0, mais semble fonctionner correctement dans les versions antérieures.

propriétaire : rweglarz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language