Firewall 正在从 LAN "否"中删除数据包 ARP
36562
Created On 02/08/19 00:36 AM - Last Modified 03/26/21 17:31 PM
Symptom
- Firewall 正在将数据包从 LAN /信任中丢弃到互联网上。
- 被丢弃的包为"否 ARP "。
flow_fwd_l3_noarp 7 0 drop flow forward Packets dropped: no ARP
- ARP 表显示不完整的条目。 前:
> show arp all maximum of entries supported : 2500 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/4 10.108.121.1 (incomplete) ethernet1/4 i 1
Environment
- PA-820
- 任何 OS 版本
- NAT 正确配置(来源和目的地)
Cause
- 客户端将其网关配置/指向开关(或其他设备),而不是防火墙 LAN 接口。
- 这会导致切换将数据包转发到 firewall ARP 客户端发送的包,而不是数据包。
- 因此 firewall ,无法 ARP 获取客户端 IP ,并且在表中获取不完整的条目 ARP 。
Resolution
确保客户端网关配置指向防火墙 LAN 界面。
- 打开客户 CMD 端终端
- 使用伊普康菲格或如果康菲格 ( MAC )
- 检查网关 IP
- 如果 IP 列出的是接口以外的开关或设备 Firewall LAN ,则需要将其更改为防火墙 LAN 界面 IP
Additional Information
配置不当 NAT policy 通常是导致此问题的原因
请参照此文档处理该案例
:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC