详细
在这种情况下, 以前成功的网络连接可能不再通过帕洛阿尔托网络防火墙。防火墙的 UI 中可能没有现成的可用证据来帮助解释正在发生的事情。
执行以下命令以显示与丢弃的数据包关联的度量。
>> 显示计数器全局筛选严重性下降三角洲是
此命令至少应执行两次, 以便输出与最近看到的与数据包筛选器匹配的数据包相关。
如果输出中包含 "丢弃的数据包: 转发到另一个区域" 的说明, 则一种可能是最近看到的数据包与在防火墙的路由处于不同状态时记录的现有会话匹配。例如, 虚拟路由器的转发表中的条目通常由 OSPF 获得。OSPF 停止接收更新, 然后防火墙切换到使用静态路由。默认静态路由指定 ethernet1/1 作为出口接口, 此时将记录会话。
恢复 OSPF 后, 默认路由现在指定 ethernet1/2 作为出口接口, 而此接口位于与 ethernet1/1 不同的区域中。与现有会话匹配的数据包到达, 它仍然指定 ethernet1/1 的出口接口。但是, 当处理数据包进行转发时, ethernet1/2 是出口接口, 它位于不同的区域, 因此 "转发到不同的区域" 状态。
使用以下命令清除现有会话:
>> 清除会话 id<NUM></NUM>
请参见
要标识需要清除的会话 ID 号, 请参阅如何监视实时会话
所有者︰ jjosephs