不完全な ARP エントリまたはファイアウォール ネットワーク上のすべての ARP 要求に応答します。
Resolution
問題
2 つの症状があります。
- パロアルトネットワークファイアウォールは、ネットワーク上のホスト (たとえば、デフォルトゲートウェイ) のための不完全な arp エントリを持っています:
> arp を表示する
サポートされているエントリの最大数: 2500
デフォルトのタイムアウト: 1800 秒
テーブルの arp エントリの合計:
表示される1つの合計 ARP エントリ: 1
ステータス: s-スタティック, c-完全, e-期限切れ, i-不完全な
インターフェイス ip アドレス hw アドレスポートステータス ttl
--------------------------------------------------------------------------------
ethernet1/4 10.108.121.1 (不完全) ethernet1/4 i 1 - ファイアウォールは、ネットワーク上のすべての ARP 要求に応答しています。
エンドポイントで、任意のランダムな ip アドレスを選択し、それに ping を実行しようとすると、ファイアウォールの IP MAC で ARP エントリが表示されます:
$ ping-w 2 10.108.121.251
$ ping-w 2 10.108.121.252
$ arp-
?(10.108.121.251) 00: 1b:17:00:04:13 [エーテル] eth4
?(10.108.121.252) 00: 1b:17:00:04:13 [エーテル] on eth4
原因
正しく構成されていないソース マスクの長さが 32 と NAT ポリシーがあるそうです。たとえば、IP アドレス 10.108.121.2/24 を持つインタ フェースを構成する場合、NAT IP 必要がありますとして構成する 10.108.121.3/32 (32 とマスク)。この例では NAT IP を 10.108.121.3/24 として構成できませんする必要があります。
解決方法
NAT ルールの数が多い、方針を絞り込むことは難しいことです。NAT 規則を識別する 3 つの方法は次のとおりです。最初の 2 つは実行する安全で、3 番目のオプションは、データ プレーン ・でデバッグを有効にすることを含み、慎重に使用する必要があります。
方法 1
問題のあるプールを識別します。
> グローバル ippool を実行中のショー
Idx 型から Num Ref。Cnt
---- ---------------- -------------------------------- --------------- --- ----------
3 動的 IP/ポート 0.0.0.0-255.255.255.255 10.108.121.5 1 1
6動的 IP/ポート 0.0.0.0-255.255.255.255 10.108.121.0256 1
注:プール6は、10.108.121.0 ネットワークで256アドレスを使用しています。
入力「/」(スラッシュ)、次のコマンドを実行して、ポリシー キーを押しますを決定する:「idx: 6"(ダブル コロンと 6、もし戻って必要な少し上向き矢印キーを押すことによって間スペースがある)。
> nat ポリシーを実行中のショー
[...]
dmz_Out {
dmz; から
ソースのいずれか。
外に;
インタ フェースに ethernet1/4;
コピー先。
サービス/すべて/任意;
翻訳に「src: 10.108.121.0-10.108.121.255 (ダイナミック ・ ip ・ ポートの) (プール idx: 6)」。
ターミナルなし。
}
正しく構成されていないルールは、dmz_out を参照してください。
方法 2
基本的には、ip アドレスの範囲が使用されているすべての規則名および src NAT 変換を出力するようにファイアウォールを指示 1 つのコマンドを実行します。この場合、翻訳の前にルール名は問題のあるルールです。
> を nat ポリシーを実行する |一致 {\|src:[^\(]*-
「ルール 1」{
smtp04 で {
smtp04 アウト {
smtp03 アウト {
「インターネット送信」{
dmz_Out {
翻訳に「src: 10.108.121.0-10.108.121.255 (ダイナミック ・ ip ・ ポートの) (プール idx: 6)」。
「ルール 4」{
「ルール 5」{
smtp03 で {
メソッド 3
大事な!このメソッドは dataplane のデバッグを有効にするため、慎重に使用してください。
DP でのデバッグを有効にします。
> デバッグ データ プレーン ・ パケット diag をすべてクリア
> データ プレーン ・ diag パケット フィルターの設定一致非 ip のみをデバッグ
> にフィルターを設定するデバッグ データ プレーン ・のパケット diag
> デバッグ データ プレーン ・ パケット diag セットのログ機能は、arp をフロー
> デバッグ データ プレーン ・ パケット diag の設定ログ
> デバッグ データ プレーン ・ パケット diag ログの消去ログ
後に (またはファイアウォールのデフォルト ゲートウェイからへの ping) ファイアウォールを経由して通信を送信しようとすると。
> ping 送信元 10.108.121.253 ホスト 10.108.121.1
DP のデバッグ ファイルを確認してください。
> 以下 dp ログの pan_task_ *
それは"n"を押すことによって次のファイルに移動することが可能
いくつかの時点で、次が表示されますのようであります。
Ethernet1/4 ポートから受信した ARP パケット
パケットのデコードされたダンプ:
L2: 00-> 00:50:56:a3:10:5a: 1b:17:00:04:13、0x0806 を入力
ARP: ハードウェア型 0x0001
プロトコル タイプ 0x0800
ハードウェアのサイズ 6
プロトコル サイズ 4
オペコード返信
送信者 mac アドレス 00:50:56:a3:10:5a
送信者の ip アドレス 10.108.121.1
ターゲット mac アドレス 00:1b:17:00:04:13
ターゲットの ip アドレス 10.108.121.253
Vsys 1 の NAT ルール インデックス 5 に翻訳された ip アドレスから送信された ARP パケット
Ethernet1/4 のインターフェイスに送信される ARP パケット IP
arp パケットは、完全な解析を学ぶ: いいえ、自分自身をターゲット: はい、無償 arp: いいえ
上記の例では、ファイアウォールの状態は誰かが IP アドレス、ファイアウォール、NAT ルールで使用されているインデックス 5 を使用しています。
注:インデックス5はアクティブなポリシーのみを意味し (無効になっているポリシーはカウントされません)、0から始まります。最も簡単な方法は、コマンド "> 実行中の nat ポリシーの表示" と "ポリシーのカウント" を再度実行することです。
修正プログラムの詳細
これは WebGUI および CLI でのルールの様子です。
> 実行の設定を表示
[...]
dmz_Out {
外に;
dmz; から
ソースのいずれか。
コピー先。
サービス
ipv4 nat タイプ
ソース変換 {
動的 ip とポート {
変換されたアドレス 10.108.121.211;
}
}
インタ フェースに ethernet1/4;
}
一目では、このルールには何も間違っている、しかし、いくつかの調査の後、10.108.121.211 は本当にオブジェクトであることを参照してください:
10.108.121.211 {
ip ネットマスク 10.108.121.211/24;
}
これは、WebUI ざっと見るだけで見つけるは難しいでしょう。
適切なネットマスクを変更 1 つ (最も可能性の高い 32) を確認します。変更後のルールのように参照してください。
> nat ポリシーを実行中のショー
dmz_Out {
dmz; から
ソースのいずれか。
外に;
インタ フェースに ethernet1/4;
コピー先。
サービス/すべて/任意;
翻訳するには "src: 10.108.121.211 (動的 ip アドレスとポート) (プール idx の: 7)";
ターミナルなし。
}
> グローバル ippool を実行中のショー
Idx 型から Num Ref。Cnt
---- ---------------- -------------------------------- --------------- --- ----------
3 動的 IP/ポート 0.0.0.0-255.255.255.255 10.108.121.5 1 1
7動的 IP/ポート 0.0.0.0-255.255.255.255 10.108.121.2111 1
上記の例では、非常に同じルールで使用される別のプール ID に注意してくださいが単一の IP アドレスのみが使用されます。
この動作は、パン OS 6.0 にのみ見られるが、以前のリリースで正常に動作するようです。
所有者: rweglarz