Detalles
Puede haber una situación en la que las conexiones de red que tuvieron éxito antes de que ya no pasen por el cortafuegos de Palo Alto Networks. Es posible que no haya pruebas disponibles en la interfaz de usuario del cortafuegos para ayudar a explicar lo que está sucediendo.
Ejecute el siguiente comando para revelar las métricas asociadas con los paquetes caídos.
> Mostrar contador global severidad de filtro caída Delta sí
Este comando debe ejecutarse al menos dos veces para que la salida sea relevante para los paquetes recientemente vistos que coincidan con el filtro de paquetes.
Si la salida incluye la línea con una descripción de "paquetes caídos: reenviado a una zona diferente", entonces una posibilidad es que un paquete recientemente visto coincida con una sesión existente que se registró en un momento en el que el enrutamiento del cortafuegos se encontraba en un estado diferente. Por ejemplo, las entradas de la tabla de reenvío del enrutador virtual se obtienen normalmente por OSPF. OSPF dejó de recibir actualizaciones y el Firewall luego cambió a usar rutas estáticas. Una ruta estática predeterminada especifica ethernet1/1 como la interfaz de salida y una sesión se registra en este momento.
Después de que se restaure OSPF, la ruta predeterminada ahora especifica ethernet1/2 como la interfaz de salida y esta interfaz se encuentra en una zona diferente a ethernet1/1. Llega un paquete que coincide con la sesión existente, que todavía especifica que la interfaz de salida es ethernet1/1. Sin embargo, cuando el paquete se procesa para reenviar, ethernet1/2 es la interfaz de salida y se encuentra en una zona diferente, de ahí el estado "remitido a una zona diferente".
Borre la sesión existente con este comando:
> borrar Session ID<NUM></NUM>
Ver también
Para identificar el número de identificador de sesión que debe borrarse, consulte cómo supervisar las sesiones en directo
Propietario: jjosephs