Problemas de tráfico para NAT las IP después de la conmutación por error en las plataformas de la HA VM serie

Problemas de tráfico para NAT las IP después de la conmutación por error en las plataformas de la HA VM serie

15119
Created On 07/24/19 08:30 AM - Last Modified 03/26/21 17:44 PM


Symptom


En VM los firewalls de serie en HA par, el tráfico deja de funcionar para las IP direcciones utilizadas en las instrucciones NAT (aparte de las direcciones de IP interfaz). ARP La actualización no se realiza en los dispositivos de salto siguiente para las direcciones estáticas/de destino NAT IP en la conmutación por HA error.

Environment


Plataforma - VM Firewalls de serie en HA
el medio ambiente - Todos los Virtualization entornos
 

Cause


Los firewalls no envían G-ARP direcciones en ambas plataformas y NAT IP Hardware VM series.

Hardware MAC Esta MAC dirección no cambia en caso de conmutación por error. En caso de una conmutación por error, para la G-ARP interfaz de plano de datos se asegura de que los dispositivos de salto siguiente puedan actualizar su tabla de reenvío L2, su tabla de reenvío L3 no necesita actualización porque la dirección mac sigue siendo la misma.Debido a esto los dispositivos del salto siguiente todavía son capaces de enviar el tráfico al nuevo activo firewall como el virtual está ahora activo en el otro MAC firewall .

Sin embargo, en VM firewalls de serie si está utilizando "Dirección asignada por Hipervisor", MAC no se utiliza la dirección MAC virtual. La MAC dirección de la interfaz del plano de datos en cada par es única y según lo especificado por HA el hipervisor y por lo tanto MAC los cambios en caso de la Conmutación por falla : DIFFERENT MAC ADDRESS ON HA ACTIVE/PASSIVE PAIR IN VM-SERIES INTERFACES

Esto afecta al tráfico a las direcciones debido solamente a NAT IP la interfaz del plano de datos no es suficiente para actualizar las tablas G-ARP de reenvío L3 en los dispositivos del salto siguiente para las direcciones usadas en un NAT policy firewall encendido. Como firewall no envía direcciones y el salto siguiente todavía tiene para ellos con la dirección de G-ARP previamente NAT IP ARP MAC firewall activo. El tráfico seguirá sin funcionar hasta que los dispositivos del salto siguiente vuelvan a hacer una ARP consulta para los NAT IP.

Resolution


Hay dos soluciones a esto a partir de ahora-

1. Ejecute un comando Test para enviar G-ARP NAT IPs desde el firewall archivo .
test arp gratuitous interface <value> ip <ip/netmask>

2. Configure todos los NAT IP en la interfaz de donde la actualización necesita firewall ARP suceder.
 

Additional Information


Habilitar el uso de direcciones asignadas por hipervisores MAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMRMCA4&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language