不要なエントリの ARP テーブルへの移入を停止します。

問題

不要な arp エントリは、パロアルトネットワークデバイスの arp テーブルに表示されます。 arp テーブルには、インターネットからのアドレスのエントリが入力され、arp テーブルの制限に近づいています。

詳細

パロアルトネットワークファイアウォールが L3 モードで展開されている場合、ファイアウォールインターフェイスで構成されているのと同じネットワーク/サブネットの一部であるホストおよびデバイスの ARP エントリが存在します。任意のパロアルトネットワークファイアウォールインターフェイスのサブネットの一部ではないアドレスの arp エントリがある場合は、ファイアウォールがインターフェイス上でプロキシ arp を実行していることを意味します。

次ホップ IP を使用せずに静的ルートが構成されている場合、静的ルートの宛先ネットワークからファイアウォールに応答するすべてのホストは、ファイアウォールに ARP エントリを持ちます。構成例を次に示します。

この例では、選択された送信インターフェイスを使用して構成された既定の静的ルートを示し、次ホップの値を None に設定します。この場合、パロアルトネットワークファイアウォールは、0.0.0.0/0 ネットワーク内のすべてのホストに対して arp を行って、応答するホストの arp エントリを作成します。

解決方法

ファイアウォールによって所有されていないサブネットのインターフェイスに ARPing が意図的に実装されていない場合は、以下のように次ホップの値を指定するようにしてください。

例のスクリーンショットは、次ホップの値が IP アドレスの形式で指定されていることを示しています。この構成によって、ルート 0.0.0.0/0 に一致するすべてのホストに対して、PA ファイアウォールの ARPing が防止されます。

所有者: mvenkatesan