Problèmes de trafic pour NAT les IP après HA failover sur les VM plates-formes de série

Problèmes de trafic pour NAT les IP après HA failover sur les VM plates-formes de série

15091
Created On 07/24/19 08:30 AM - Last Modified 03/26/21 17:44 PM


Symptom


Sur les VM pare-feu de série dans le HA trafic paire cesse de fonctionner pour les IP adresses utilisées dans les NAT instructions (autres que les adresses IP d’interface). ARP La mise à jour ne se produit pas sur les appareils de saut suivant pour les adresses Statique/Destination NAT IP HA lors de l’échec.

Environment


Plate-forme - VM Pare-feu de série dans HA
l’environnement - Tous les Virtualization environnements
 

Cause


Les pare-feu n’envoient pas d’adresses sur G-ARP NAT IP les deux Hardware VM

Hardware MAC plateformes et sur les plates-formes de la série. Cette MAC adresse ne change pas en cas d’échec. En cas d’échec, pour G-ARP l’interface dataplane s’assure que les périphériques hop suivant peuvent mettre à jour leur table de forwarding L2, leur table de forwarding L3 n’a pas besoin d’être mise à jour car l’adresse mac reste la même.Pour cette raison, les appareils hop suivant sont toujours en mesure d’envoyer le trafic à la nouvelle active firewall que le virtuel est maintenant actif sur MAC l’autre firewall .

Toutefois, sur VM les pare-feux de série si vous utilisez « Hypervisor attribué MAC adresse », l’adresse MAC virtuelle n’est pas utilisée. MACL’adresse de l’interface dataplane sur chaque pair est unique et comme spécifié HA par l’hyperviseur et donc MAC des changements en cas d’échec : / DIFFERENT MAC ADDRESS ON HA ACTIVECelaPASSIVE PAIR IN VM-SERIES INTERFACES

affecte le trafic vers les adresses en raison de NAT IP G-ARP seulement l’interface dataplane ne suffit pas à mettre à jour les tables de transfert L3 sur les dispositifs de saut suivant pour les adresses utilisées dans un NAT policy on firewall . Comme firewall n’envoie pas G-ARP NAT IP d’adresses et le saut suivant a encore ARP pour eux avec l’adresse MAC d’auparavant actif firewall . Le trafic continuera de ne pas fonctionner jusqu’à ce que les appareils de saut suivant ARP fait une requête pour les NAT ADRESSES IPs à nouveau.

Resolution


Il y a deux solutions à cela à partir de maintenant-

1. Exécutez une commande de test à envoyer G-ARP pour NAT les adresses IPs à partir de la firewall .
test arp gratuitous interface <value> ip <ip/netmask>

2. Configurer tous les NAT adresses IPs sur l’interface de firewall l’endroit ARP où le rafraîchissement doit se produire.
 

Additional Information


Activer l’utilisation des adresses assignées MAC hypervisor
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMRMCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language