NAT HA シリーズ プラットフォームでのフェールオーバー後の IP のトラフィックの問題 VM
15123
Created On 07/24/19 08:30 AM - Last Modified 03/26/21 17:44 PM
Symptom
VMペアの一連のファイアウォールでは HA 、 IP NAT ステートメント(インターフェイス アドレス以外)で使用されるアドレスの動作 IP が停止します。 ARP フェールオーバー時に静的/宛先アドレスの次ホップ デバイスでは更新は行われません NAT IP HA 。
Environment
プラットフォーム - VM 環境内のシリーズファイアウォール HA
- すべての Virtualization 環境
Cause
ファイアウォールは G-ARP NAT IP 両方のプラットフォームのアドレスに送信されません Hardware VM 。
Hardware MAC MACこのアドレスは、フェールオーバーの場合には変更されません。 フェイルオーバーの場合、 G-ARP データプレーン・インターフェースの場合、ネクストホップ・デバイスが L2 転送テーブルを更新できるようにし、Mac アドレスが同じままであるため、L3 転送テーブルは更新する必要はありません。このため、仮想がもう一方の仮想でアクティブになったため、ネクストホップ デバイスは新しいアクティブにトラフィックを送信できます firewall MAC firewall 。
ただし、 VM シリーズファイアウォールで「ハイパーバイザー割り当て MAC アドレス」を使用している場合 MAC は、仮想アドレスは使用されません。 MAC各ピアのデータプレーンインターフェイスのアドレスは HA 一意であり、ハイパーバイザーによって指定され、 MAC フェールオーバーの場合に変更されます: DIFFERENT MAC ADDRESS ON HA ACTIVE/PASSIVE PAIR IN VM-SERIES INTERFACES
これは NAT IP G-ARP 、データプレーンインターフェイスだけが、次ホップデバイス上のL3転送テーブルを更新するのに十分ではないので、アドレスへのトラフィックに影響を与 NAT policy firewall えます。 firewallアドレスを送信しない G-ARP NAT IP として、次のホップは ARP MAC 以前にアクティブなアドレスを持つ彼らのためにまだ持っています firewall . 次ホップ デバイスが IP に対するクエリを再度実行するまで、トラフィックは引き続き機能しません ARP NAT 。
Resolution
現在の1の時点でこれに対する2つの解決策があります
。 から IP を送信するテスト コマンド G-ARP NAT を実行 firewall します。
test arp gratuitous interface <value> ip <ip/netmask>
2. リフレッシュが NAT 必要なインターフェイス上のすべての IP firewall を設定 ARP します。