在默认路由中定义下一个跃点

本文解释了仅定义退出接口的影响, 而在指向 ISP 的默认路由中没有下一个跃点。建议您定义指向 ISP 的默认路由。

在帕洛阿尔托网络防火墙上, 配置一个没有下一跃点的默认路由。

在帕洛阿尔托网络防火墙上为远程 ip 地址 (8.8.8.8) 生成的 ICMP 回声将触发 Arp 请求。

虽然 ping 成功, 但 ISP 的输出显示了代理 Arp 过程。

通常, 您 woulnd 看不到这些类型的 arp 请求。但是, 防火墙被迫基于不识别下一个跃点的静态路由来代理 Arp。为了进一步说明可能发生的情况, 我们可以在 ISP 的接口上禁用代理 arp, 并清除防火墙上的 arp 缓存。 

代理 ARP 已启用, 无法在帕洛阿尔托网络防火墙上禁用。

接下来, 您将需要配置指示下一个跃点地址的路由, 这与在防火墙上配置适当的默认网关相同。

在 CLI 中测试它。