Después de activar/pasivo ha se pierde la conectividad de red a través de los firewalls

Después de activar/pasivo ha se pierde la conectividad de red a través de los firewalls

50314
Created On 09/26/18 13:54 PM - Last Modified 06/12/23 10:31 AM


Resolution


Incidencia

En un entorno donde el Firewall está presente y la conectividad de red está funcionando a través del cortafuegos, si se trae otro cortafuegos para crear un par de alta disponibilidad (ha), se puede perder conectividad para cualquier dispositivo conectado cuando la ha esté activada, incluso si el el nuevo cortafuegos actúa como unidad pasiva y tiene sus interfaces no-ha desactivadas o apagadas.

Causa

Después de habilitar ha, se espera que las direcciones MAC de ambos dispositivos en interfaces que no son de ha cambian a una dirección Mac común completamente diferente. Si hay alguna entrada ARP con las direcciones MAC antiguas en enrutadores o hosts que están en las redes conectadas directamente, entonces transmitirán a la dirección Mac incorrecta hasta que la entrada ARP se actualice en esos dispositivos.  Un ejemplo es el siguiente salto router hacia Internet podría tener la dirección Mac de la interfaz de cortafuegos principal antes de que el ha estaba habilitado causando el Firewall no recibir o rechazar esos fotogramas puesto que la dirección Mac de destino no es la actual asignada.

El mismo problema también podría ocurrir si ha se ha deshabilitado en un entorno en el que ha estaba habilitado y funcionando.

Ejemplo

Primaria antes de ha

admin @ PA-500-1 > Mostrar interfaz todos

interfaces de hardware configuradas totales: 9

Nombre ID velocidad/dúplex/estado MAC dirección

--------------------------------------------------------------------------------

ethernet1/1 16 100/full/up 00:1B: 17: AA: BB: 10

ethernet1/2 17 100/full/up 00:1B: 17: AA: BB: 11

ethernet1/3 18 desconocido/desconocido/abajo 00:1B: 17: AA: BB: 12

ethernet1/4 19 100/full/up 00:1B: 17: AA: BB: 13

ethernet1/7 22 1000/full/up 00:1B: 17: AA: BB: 16

ethernet1/8 23 1000/full/up 00:1B: 17: AA: BB: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17: AA: BB: 01

bucle 3 [n/a]/[n/a]/up 00:1B: 17: AA: BB: 03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17: AA: BB: 04

Primaria después de ha

admin @ PA-500-1 (activo) > Mostrar interfaz todos

interfaces de hardware configuradas totales: 9

Nombre ID velocidad/dúplex/estado MAC dirección

--------------------------------------------------------------------------------

ethernet1/1 16 100/full/up 00:1B: 17:00:11:10

ethernet1/2 17 100/full/up 00:1B: 17:00:11:11

ethernet1/3 18 desconocido/desconocido/abajo 00:1B: 17:00:11:12

ethernet1/4 19 100/full/up 00:1B: 17:00:11:13

ethernet1/7 22 1000/full/up 00:1B: 17: AA: BB: 16

ethernet1/8 23 1000/full/up 00:1B: 17: AA: BB: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17:00:11:01

bucle 3 [n/a]/[n/a]/up 00:1B: 17:00:11:03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17:00:11:04

Secundaria antes de ha

admin @ PA-500-2 > Mostrar interfaz todos

interfaces de hardware configuradas totales: 9

Nombre ID velocidad/dúplex/estado MAC dirección

--------------------------------------------------------------------------------

ethernet1/1 16 desconocido/desconocido/abajo 00:1B: 17: CC: DD: 10

ethernet1/2 17 desconocido/desconocido/abajo 00:1B: 17: CC: DD: 11

ethernet1/3 18 desconocido/desconocido/abajo 00:1B: 17: CC: DD: 12

ethernet1/4 19 desconocido/desconocido/abajo 00:1B: 17: CC: DD: 13

ethernet1/7 22 1000/full/up 00:1B: 17: CC: DD: 16

ethernet1/8 23 1000/full/up 00:1B: 17: CC: DD: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17: CC: DD: 01

bucle 3 [n/a]/[n/a]/up 00:1B: 17: CC: DD: 03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17: CC: DD: 04

Secundario después de ha

admin @ PA-500-2 (pasivo) > Mostrar interfaz todos

interfaces de hardware configuradas totales: 9

Nombre ID velocidad/dúplex/estado MAC dirección

--------------------------------------------------------------------------------

ethernet1/1 16 desconocido/desconocido/abajo 00:1B: 17:00:11:10

ethernet1/2 17 desconocido/desconocido/abajo 00:1B: 17:00:11:11

ethernet1/3 18 desconocido/desconocido/abajo 00:1B: 17:00:11:12

ethernet1/4 19 desconocido/desconocido/abajo 00:1B: 17:00:11:13

ethernet1/7 22 1000/full/up 00:1B: 17: CC: DD: 16

ethernet1/8 23 1000/full/up 00:1B: 17: CC: DD: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17:00:11:01

bucle 3 [n/a]/[n/a]/up 00:1B: 17:00:11:03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17:00:11:04

Las direcciones MAC han sido ofuscadas, pero se realizan de forma consistente, por lo que el ejemplo todavía muestra el cambio.

Otros dispositivos fuera de la red ethernet1/1 pueden tener 00:1B: 17: AA: BB: 10 en lugar de 00:1B: 17:00:11:10 después de que la ha fue activada.  Hasta que el router obtiene la dirección Mac correcta a continuación, los paquetes enviados hacia el Firewall desde el router no lo hará.

Resolución

  • Desactive las entradas de ARP en los enrutadores o hosts que tengan entradas ARP con la dirección Mac incorrecta
  • Esperar a que las entradas ARP antiguas para tiempo fuera si la ha no está en un entorno de producción
  • No deshabilite ni habilite ha como un paso de solución de problemas sin esperar tener en cuenta el cambio en las direcciones MAC

Propietario: astanton
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzmCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language