Verkehrsprobleme für NAT IPs nach HA Failover auf VM Serienplattformen
15139
Created On 07/24/19 08:30 AM - Last Modified 03/26/21 17:44 PM
Symptom
Bei VM Serienfirewalls in HA Paarverkehr funktioniert der Datenverkehr nicht mehr für Adressen, die IP in Anweisungen verwendet werden NAT (andere als IP Schnittstellenadressen). ARP Die Aktualisierung findet bei einem Failover auf den nächsten Hopgeräten für statische/Zieladressen nicht NAT IP HA statt.
Environment
Plattform - VM Serien-Firewalls in HA
der Umgebung - Alle Virtualization Umgebungen
Cause
Firewalls senden nicht G-ARP für Adressen auf beiden und NAT IP Hardware VM Series-Plattformen.
Hardware Plattform haben eine virtuelle Adresse auf seiner MAC Dataplane-Schnittstelle, die zwischen beiden Geräten schweben bleibt. Diese MAC Adresse ändert sich im Falle eines Failovers nicht. Im Falle eines Failovers stellt die G-ARP Dataplane-Schnittstelle sicher, dass die nächsten Hop-Geräte ihre L2-Weiterleitungstabelle aktualisieren können, ihre L3-Weiterleitungstabelle muss nicht aktualisiert werden, da die Mac-Adresse gleich bleibt.Aus diesem Grund können die nächsten Hop-Geräte den Datenverkehr weiterhin an den neuen Aktiven senden, da das virtuelle Gerät firewall nun auf dem anderen aktiv MAC firewall ist.
Wenn Sie jedoch bei VM Serienfirewalls "Hypervisor zugewiesene MAC Adresse" verwenden, wird die virtuelle MAC Adresse nicht verwendet. Die MAC Adresse der Dataplane-Schnittstelle auf jedem HA Peer ist eindeutig und, wie vom Hypervisor angegeben und somit MAC Änderungen im Falle eines Failovers : DIFFERENT MAC ADDRESS ON HA ACTIVE/PASSIVE PAIR IN VM-SERIES INTERFACES
Dies wirkt sich auf den Datenverkehr an NAT IP Adressen aus, da G-ARP nur die Datenebenenschnittstelle nicht ausreicht, um die L3-Weiterleitungstabellen auf den nächsten Hop-Geräten für Adressen zu aktualisieren, die in einem verwendet NAT policy firewall werden. Da firewall wird nicht für Adressen gesendet und der nächste Hop hat noch für sie mit der G-ARP Adresse von zuvor aktiven NAT IP ARP MAC firewall . Der Datenverkehr funktioniert weiterhin nicht, bis die nächsten Hop-Geräte erneut eine ARP Abfrage für die IPs ausführt. NAT
Resolution
Dafür gibt es ab sofort zwei
Lösungen- 1. Führen Sie einen Testbefehl aus, um iPs aus der zu G-ARP NAT firewall senden.
test arp gratuitous interface <value> ip <ip/netmask>
2. Konfigurieren Sie alle NAT IPs auf der Schnittstelle firewall der, an der die ARP Aktualisierung erfolgen muss.
Additional Information
Verwenden von Hypervisor-zugewiesenen Adressen aktivieren MAC