パスの監視により、ファイアウォールは ICMP ping メッセージを送信して、指定された宛先 IP アドレスを監視し、応答可能であることを確認します。
仮想ワイヤ、レイヤ2、またはレイヤ3構成のパス監視を使用して、フェイルオーバーおよびリンク監視だけでは不十分な他のネットワークデバイスの監視が必要な場合。
使用するソース IP アドレス
仮想ワイヤおよび VLAN インタフェースの場合は、次ホップルータ (宛先 ip アドレス) に送信されるプローブパケットで使用する送信元 ip アドレスを入力します。
ローカルルーターは、アドレスをファイアウォールにルーティングできる必要があります。
仮想ルーターに関連付けられたパスグループの送信元 ip アドレスは、指定された宛先 ip アドレスの出力インターフェイスとしてルートテーブルに表示されるインターフェイス IP アドレスとして自動的に構成されます。
この例では、特定の Vwire 構成を使用したパス監視のしくみについて説明します。
セットアップ
LAN ネットワーク-ルータ A--PANW ファイアウォール (Vwire)-ルータ B
IP ルーター A: 1.1.1.254
IP ルーター B: 1.1.1.1
- デバイス > 高可用性 > リンクとパスの監視-HA パスグループ仮想ワイヤ:
これは、ソース IP アドレスを構成する必要がある唯一の場所です。
[デバイス] > [高可用性] > [リンクとパスの監視] に移動します。
構成をコミットすると、ネットワーク上の次のトラフィックが確認されます。
1.1.1.1 のための mac アドレスを要求するためにファイアウォールから供給される ARP ブロードキャスト:
ここに宛先 ip 1.1.1.1 からの ARP 応答があります:
今、パスの監視を開始することができます:
CLI に移動し、パスの監視が正常に動作していることを確認します。
(アクティブ) > 高可用性パス監視の表示
--------------------------------------------------------------------------------
合計経路監視: 1
ホールド時間でプローブパケットを送信: 1000 ms
(デバイス アクティブになります)
--------------------------------------------------------------------------------
名前/タイプ宛先 suc/合計 rtt 最小/最大/平均 (ms) プローブ cnt/インターバル (ms)
--------------------------------------------------------------------------------
リプレイ/仮想線 1.1.1.1 10/10 0.10/0.11/0.11 10/200
--------------------------------------------------------------------------------
注: arp パケットは vwire インターフェイスから送信され、送信された arp パケットには、どのインターフェイスにも添付されていない一意の MAC があります。