デフォルトルートでの次ホップの定義

この記事では、ISP を指す既定のルートに次のホップを使用せずに、終了インターフェイスのみを定義した場合の影響について説明します。ISP を指す既定のルートを定義することをお勧めします。

パロアルトネットワークファイアウォールで、次のホップを使用せずに既定のルートを構成します。

リモート ip アドレス (8.8.8.8) に向かってパロアルトネットワークファイアウォール上で生成された ICMP エコーは、Arp 要求をトリガします。

ping は成功しましたが、ISP の出力によってプロキシ Arp プロセスが明らかになります。

通常は、これらの種類の arp 要求を woulnd't ます。ただし、ファイアウォールは、次ホップを識別していない静的ルートに基づいて Arp のプロキシを強制されました。さらに何が起こるかを示すために、我々は、ISP のインターフェイス上でプロキシ arp を無効にし、ファイアウォール上の arp キャッシュをクリアすることができます。 

プロキシ ARP は有効になっており、パロアルトネットワークファイアウォールで無効にすることはできません。

次に、ファイアウォール上で適切なデフォルトゲートウェイを構成するのと同じ、次ホップアドレスを示すルートを構成します。

CLI でテストします。