Vwire 中的路径监视

通过路径监视, 防火墙可以通过发送 ICMP ping 消息来监视指定的目标 IP 地址, 以确保它们是响应的。

对虚拟导线、2层或3层配置使用路径监视, 在这种情况下, 仅需要监视其他网络设备才能进行故障转移和链路监视是不够的。

要使用的源 IP 地址

对于虚拟电线和 VLAN 接口, 请输入发送到下一跃点路由器 (目标 IP 地址) 的探测数据包中使用的源 ip 地址。

本地路由器必须能够将地址路由到防火墙。

与虚拟路由器关联的路径组的源 ip 地址将自动配置为路由表中指示的接口 ip 地址, 作为指定目标 IP 地址的出口接口。

此示例说明路径监视如何使用特定的 Vwire 配置进行工作。

安装程序

LAN 网络--路由器 A--PANW 防火墙 (Vwire)--路由器 B

IP 路由器 A: 1.1.1.254

IP 路由器 B: 1.1.1。1

• 设备 >> 高可用性 > 链接和路径监视-HA 路径组虚拟线:

这是您需要配置源 IP 地址的唯一位置。

转到设备 >> 高可用性 > 链接和路径监视:

提交配置时, 您会注意到网络上的以下通信量:

从防火墙来源的 ARP 广播请求1.1.1.1 的 mac 地址: 

以下是来自目标 ip 1.1.1.1 的 ARP 应答: 

现在可以启动路径监视:

转到 CLI 并验证路径监视工作正常:

(活动) >> 显示高可用性路径监视

--------------------------------------------------------------------------------
监视的总路径: 1
保持时间发送探测数据包: 1000 毫秒
(设备后 变为活动状态)
--------------------------------------------------------------------------------
名称/类型目标/总 rtt 最小/最大/平均 (ms) 探针碳纳米管/间隔 (毫秒)
--------------------------------------------------------------------------------
重播/虚拟线 1.1.1.1 10/10 0.10/0.11/0.11 10/200 
--------------------------------------------------------------------------------       

注意: arp 数据包是从 vwire 接口发送的, 发送出去的 arp 数据包将有一个唯一的 MAC 没有连接到任何接口.