Die Pfad Überwachung ermöglicht es der Firewall, bestimmte Ziel IP-Adressen zu überwachen, indem Sie ICMP-Ping-Nachrichten sendet, um sicherzustellen, dass Sie
Verwenden Sie die Pfad Überwachung für virtuelle Drähte, Layer 2 oder Layer 3-Konfigurationen, bei denen die Überwachung anderer Netzwerkgeräte für Failover erforderlich ist und die Link Überwachung allein nicht ausreicht.
Welche Quelle IP-Adresse zu verwenden
Geben Sie für virtuelle Draht-und VLAN-Schnittstellen die Quell-IP-Adresse ein, die in den sondenpaketen verwendet wird, die an den Next-Hop-Router gesendet werden
Der lokale Router muss in der Lage sein, die Adresse an die Firewall zu leiten.
Die Quell-IP-Adresse für Pfad Gruppen, die mit virtuellen Routern verbunden sind, wird automatisch als Interface-IP-Adresse konfiguriert, die in der Routentabelle als Egress-Schnittstelle für die angegebene Ziel-IP-Adresse angegeben ist.
In diesem Beispiel wird erläutert, wie die Pfad Überwachung mit einer bestimmten vWire-Konfiguration funktioniert.
Setup
LAN Network--Router a--panw Firewall (vWire)--Router B
IP Router A: 1.1.1.254
IP Router B: 1.1.1.1
- Gerät > hohe Verfügbarkeit > Link und Pfad Überwachung-ha Path Gruppe virtueller Draht:
Dies ist der einzige Ort, an dem Sie die Quelle-IP-Adresse konfigurieren müssen.
Gehen Sie zum Gerät > hohe Verfügbarkeit > Link und Pfad Überwachung:
Wenn Sie die Konfiguration übertragen, werden Sie den folgenden Traffic in Ihrem Netzwerk bemerken:
ARP Broadcast stammt von Firewall, um die Mac-Adresse für 1.1.1.1 zu anfordern:
Hier ist die ARP-Antwort von Destination IP 1.1.1.1:
Nun kann die Pfad Überwachung beginnen:
Gehen Sie zum CLI und überprüfen Sie, ob die Path-Überwachung gut funktioniert:
(aktiv) > hochverfügbare Pfad Überwachung anzeigen
--------------------------------------------------------------------------------
Gesamt Wege überwacht: 1
halte Zeit zum Versenden von sondenpaketen: 1000 ms
(nach Gerät wird aktiv)
--------------------------------------------------------------------------------
Name/Typ Destination SUC/Total RTT min/max/AVG (MS) Sonde CNT/Interval (MS)
------------------------------------------------ --------------------------------
Replay/Virtual-Wire 1.1.1.1 10/10 0,10/0,11/0,11 10/200
--------------------------------------------------------------------------------
Hinweis: das ARP-Paket wird von den vWire-Schnittstellen gesendet, das ausgeschickte ARP-Paket hat einen einzigartigen Mac, der nicht an eine Schnittstelle angeschlossen ist.