Details
Es kann eine Situation geben, in der Netzwerkverbindungen, die vorher erfolgreich waren, möglicherweise nicht mehr über die Palo Alto Networks Firewall gehen. Es gibt vielleicht keine leicht zugänglichen Beweise im UI der Firewall, die helfen, zu erklären, was passiert.
Führen Sie den folgenden Befehl aus, um Metriken aufzudecken, die mit gefallenen Paketen verbunden
> Counter Global Filter schwere Drop Delta ja
Dieser Befehl sollte mindestens zweimal ausgeführt werden, so dass die Ausgabe für die kürzlich gesehenen Pakete relevant ist, die dem Paketfilter entsprechen.
Wenn die Ausgabe die Zeile mit einer Beschreibung von "Pakete fallen gelassen: in eine andere Zone weitergeleitet" enthält, dann ist eine Möglichkeit, dass ein kürzlich gesehenes Paket zu einer bestehenden Sitzung passt, die zu einer Zeit aufgezeichnet wurde, als die Route der Firewall in einem anderen Zustand war. Zum Beispiel werden Einträge in der Weiterleitungs Tabelle des virtuellen Routers normalerweise von OSPF bezogen. OSPF hörte auf, Updates zu erhalten, und die Firewall schaltete sich dann auf statische Routen um. Eine Standard-statische Route gibt Ethernet1/1 als Egress-Schnittstelle an und eine Session wird zu diesem Zeitpunkt aufgezeichnet.
Nachdem OSPF wieder hergestellt wurde, gibt die Standard-Route nun Ethernet1/2 als Egress-Schnittstelle an und diese Schnittstelle befindet sich in einer anderen Zone als Ethernet1/1. Ein Paket kommt, das der bestehenden Sitzung entspricht, die immer noch festlegt, dass die Egress-Schnittstelle Ethernet1/1 ist. Wenn das Paket jedoch für die Weiterleitung verarbeitet wird, ist Ethernet1/2 die Egress-Schnittstelle und befindet sich in einer anderen Zone, daher der Status "in eine andere Zone weitergeleitet".
Klären Sie die bestehende Sitzung mit diesem Befehl:
> Clear Session ID<NUM></NUM>
Siehe auch
Um die Session-ID-Nummer zu identifizieren, die gelöscht werden muss, sehen Sie, wie Sie Live- Sessions überwachen
Besitzer: Jjosephs