Détails
Il peut y avoir une situation dans laquelle les connexions réseau qui ont été couronnés de succès avant peut-être plus passer par le pare-feu de Palo Alto Networks. Il peut ne pas y avoir de preuves facilement disponibles dans l'interface utilisateur du pare-feu pour aider à expliquer ce qui se passe.
Exécutez la commande suivante pour révéler les métriques associées aux paquets supprimés.
> afficher le compteur global gravité du filtre Drop Delta Oui
Cette commande doit être exécutée au moins deux fois de sorte que la sortie soit pertinente pour les paquets récemment vus qui correspondent au filtre de paquets.
Si la sortie inclut la ligne avec une description de «paquets supprimés: transférés vers une zone différente», une possibilité est qu'un paquet récemment vu correspond à une session existante enregistrée à un moment où le routage du pare-feu était dans un état différent. Par exemple, les entrées de la table de transfert du routeur virtuel sont normalement obtenues par OSPF. OSPF a cessé de recevoir les mises à jour et le pare-feu est ensuite passé à l'utilisation des itinéraires statiques. Un itinéraire statique par défaut spécifie ethernet1/1 comme interface de sortie et une session est enregistrée pour le moment.
Après la restauration de OSPF, l'itinéraire par défaut spécifie maintenant ethernet1/2 comme interface de sortie et cette interface se trouve dans une zone différente de ethernet1/1. Un paquet arrive qui correspond à la session existante, qui spécifie encore que l'interface de sortie est ethernet1/1. Toutefois, lorsque le paquet est traité pour le transfert, ethernet1/2 est l'interface de sortie et il est dans une zone différente, d'où l'état "transmis à une zone différente".
Effacez la session existante avec cette commande:
> Clear session ID<NUM></NUM>
Voir aussi
Pour identifier le numéro d'ID de session qui doit être effacé, consultez la procédure de suivi des sessions en direct
propriétaire : jjosephs