症状
在不同接口上设置 DNS 和 ntp 的服务路由时, 当 ntp 和 DNS 服务器与下面的示例中的辅助 dns/NTP 服务器相同的主机时, ntp 服务路由将无法正常工作。
例如, 请参阅下面的示例图和配置:
NTP Srv
. 20 | +----------+
|(信任区) | | (不信任区)
++ [路由器] ++---------+ (E1/2) + PA-2020 + (E1/1) +------------+ 优先级 DNS Srv
| . 1. 2 | |. 2. 20
| (172.16.100.0/24) +----------+ (192.168.100.0/24)
|
|
+----秒 DNS/NTP Srv
. 20
(172.16.200.0/24)
服务路线:
对于 DNS, 源地址设置为 "192.168.100.2/24 (Eth1/1, 不信任)"
对于 NTP, 源地址设置为 "172.16.100.2/24 (Eth1/2, 信任)"
主 DNS: 192.168.100.20 (不信任区域侧)
主 NTP: 172.16.100.20 (信任区一侧)
辅助 DNS/NTP: 172.16.200.20 (信任区域端)-同一主机用于 NTP 和 DNS 服务
服务路由设置:
<route></route>
<service></service>
<entry name="ntp"></entry>
<source-address>172.16.100.2/24</source-address>
<entry name="dns"></entry>
<source-address>192.168.100.2/24</source-address>
如上所示, 帕洛阿尔托网络防火墙配置为使用 Eth1/1 (不信任) 为 DNS 和 Eth1/2 (信任) 进行 NTP 访问。但是, 防火墙使用 Eth1/1 (不信任) 将 ntp 通信量转向 172.16.200.20, 并且数据包可能会被丢弃, 因为不存在允许 NTP 通信从不信任区域来源的安全策略。
>> 显示 ntp
NTP 状态:
NTP 同步到本地
NTP 服务器172.16.200.020 连接: False </ Not connected>
NTP 服务器172.16.100.20 连接: True
原因
在当前体系结构下, 如果 ntp 和 dns 服务器是同一主机, 帕洛阿尔托网络防火墙将从与 dns 服务路由相同的接口启动 NTP 事务。
所有者: kkondo