Einen nächsten Hop in einer Standard-Route definieren

Dieser Artikel erklärt die Auswirkungen der Definition nur einer Exit-Schnittstelle, ohne einen nächsten Hop in einer Standard-Route, die auf den ISP zeigt. Wir empfehlen Ihnen, eine Standardroute zu definieren, die auf den ISP hinweist.

Auf der Palo Alto Networks Firewall, konfigurieren Sie eine Standard-Route ohne einen nächsten Hop.

Ein ICMP-Echo, das auf der Palo Alto Networks Firewall in Richtung der entfernten IP-Adresse (8.8.8.8) erzeugt wird, wird die ARP-Anfrage auslösen.

Obwohl das Ping erfolgreich war, enthüllt die Ausgabe auf dem ISP den Proxy-ARP-Prozess.

Typischerweise werden Sie diese Art von ARP-Anfragen nicht sehen. Die Firewall wurde jedoch gezwungen, ARP auf der Grundlage der statischen Route zu Proxy, die keinen nächsten Hopfen identifizierte. Um weiter zu demonstrieren, was passieren kann, können wir Proxy ARP auf der Schnittstelle des ISP deaktivieren und den ARP-Cache auf der Firewall löschen. 

Proxy ARP ist aktiviert und kann nicht auf der Palo Alto Networks Firewall deaktiviert werden.

Als nächstes möchten Sie eine Route konfigurieren, die eine nächste Hop-Adresse anzeigt, was die gleiche ist wie die Konfiguration eines korrekten Standard-Gateway auf einer Firewall.

Testen Sie es im CLI.