Verkehrsprobleme für NAT IPs nach HA Failover auf VM Serienplattformen

Verkehrsprobleme für NAT IPs nach HA Failover auf VM Serienplattformen

15139
Created On 07/24/19 08:30 AM - Last Modified 03/26/21 17:44 PM


Symptom


Bei VM Serienfirewalls in HA Paarverkehr funktioniert der Datenverkehr nicht mehr für Adressen, die IP in Anweisungen verwendet werden NAT (andere als IP Schnittstellenadressen). ARP Die Aktualisierung findet bei einem Failover auf den nächsten Hopgeräten für statische/Zieladressen nicht NAT IP HA statt.

Environment


Plattform - VM Serien-Firewalls in HA
der Umgebung - Alle Virtualization Umgebungen
 

Cause


Firewalls senden nicht G-ARP für Adressen auf beiden und NAT IP Hardware VM Series-Plattformen.

Hardware Plattform haben eine virtuelle Adresse auf seiner MAC Dataplane-Schnittstelle, die zwischen beiden Geräten schweben bleibt. Diese MAC Adresse ändert sich im Falle eines Failovers nicht. Im Falle eines Failovers stellt die G-ARP Dataplane-Schnittstelle sicher, dass die nächsten Hop-Geräte ihre L2-Weiterleitungstabelle aktualisieren können, ihre L3-Weiterleitungstabelle muss nicht aktualisiert werden, da die Mac-Adresse gleich bleibt.Aus diesem Grund können die nächsten Hop-Geräte den Datenverkehr weiterhin an den neuen Aktiven senden, da das virtuelle Gerät firewall nun auf dem anderen aktiv MAC firewall ist.

Wenn Sie jedoch bei VM Serienfirewalls "Hypervisor zugewiesene MAC Adresse" verwenden, wird die virtuelle MAC Adresse nicht verwendet. Die MAC Adresse der Dataplane-Schnittstelle auf jedem HA Peer ist eindeutig und, wie vom Hypervisor angegeben und somit MAC Änderungen im Falle eines Failovers : DIFFERENT MAC ADDRESS ON HA ACTIVE/PASSIVE PAIR IN VM-SERIES INTERFACES

Dies wirkt sich auf den Datenverkehr an NAT IP Adressen aus, da G-ARP nur die Datenebenenschnittstelle nicht ausreicht, um die L3-Weiterleitungstabellen auf den nächsten Hop-Geräten für Adressen zu aktualisieren, die in einem verwendet NAT policy firewall werden. Da firewall wird nicht für Adressen gesendet und der nächste Hop hat noch für sie mit der G-ARP Adresse von zuvor aktiven NAT IP ARP MAC firewall . Der Datenverkehr funktioniert weiterhin nicht, bis die nächsten Hop-Geräte erneut eine ARP Abfrage für die IPs ausführt. NAT

Resolution


Dafür gibt es ab sofort zwei

Lösungen- 1. Führen Sie einen Testbefehl aus, um iPs aus der zu G-ARP NAT firewall senden.
test arp gratuitous interface <value> ip <ip/netmask>

2. Konfigurieren Sie alle NAT IPs auf der Schnittstelle firewall der, an der die ARP Aktualisierung erfolgen muss.
 

Additional Information


Verwenden von Hypervisor-zugewiesenen Adressen aktivieren MAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMRMCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language