削除されたパケット: 別のゾーンに転送

詳細

以前に成功したネットワーク接続が、パロアルトネットワークファイアウォールを通過しなくなる可能性があります。ファイアウォールの UI では、何が起こっているかを説明するために、容易に利用できる証拠がない場合があります。

次のコマンドを実行して、ドロップされたパケットに関連するメトリックスを明らかにします。

> カウンタグローバルフィルタの重大度を表示するデルタはい

このコマンドは、出力がパケットフィルタに一致する最近見たパケットに関連するように、少なくとも2回実行する必要があります。

出力に「破棄されたパケット: 別のゾーンに転送されました」という記述の行が含まれている場合、1つの可能性は、最近見たパケットが、ファイアウォールのルーティングが異なる状態にあった時点で記録された既存のセッションと一致することです。たとえば、仮想ルーターの転送テーブルのエントリは、通常、OSPF によって取得されます。OSPF は更新の受信を停止し、ファイアウォールは静的ルートを使用するように切り替えました。既定の静的ルートは、ethernet1/1 を出力インターフェイスとして指定し、この時点でセッションを記録します。

OSPF が復元されると、デフォルトルートは ethernet1/2 を出力インタフェースとして指定し、このインタフェースは ethernet1/1 とは異なるゾーンになります。既存のセッションに一致するパケットが到着すると、送信インターフェイスが ethernet1/1 であることが指定されます。しかし、パケットが転送のために処理されるときに、ethernet1/2 は、出口インターフェースであって、そして、それは別のゾーンにあります、それゆえに、"別のゾーンに転送された" 状態。

このコマンドを使用して既存のセッションをクリアします。

> セッション id のクリア<NUM></NUM>

また見なさい

クリアする必要があるセッション ID 番号を確認するには、「ライブセッションを監視する方法」を参照してください。

所有者: jjosephs