Layer3-Unterschnittstelle übergibt keinen IPv6-Datenverkehr

• Client hat eine statische IPV6-Adresse für die Schnittstellenkonfiguration konfiguriert und auch "Schnittstelle ID als Hostteil verwenden" ausgewählt.

• Obwohl die IPV6-Adresse auf der Schnittstelle definiert war, konnte der Client die IPv6-Unterschnittstelle "2602:fe6a:a:d99::1/64" nicht andieen.
• Beim Pingen von einem IPV6-Host an die firewall Unterschnittstelle konnten Sie sehen, dass die Nachbaranforderungsnachrichten an die weitergeleitet firewall wurden, aber es gab keine Antwort. Sehen Sie sich die Paketerfassung vom Client unten an:

user1@ubuntu-49-59:~$ sudo tcpdump -vvveni eth1
[sudo] password for user1:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
05:38:39.293587 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:40.291867 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:41.291859 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:42.309129 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:43.307873 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd

• Auf der firewall können die folgenden Befehle verwendet werden, um die IPv6-Adresse zu bestimmen, die der Schnittstelle zugewiesen ist.

admin@Lab32-58-PA-500> show interface all

total configured hardware interfaces: 4

name                    id    speed/duplex/state        mac address
--------------------------------------------------------------------------------
ethernet1/2             17    1000/full/up              00:1b:17:32:a9:11
ethernet1/3             18    ukn/ukn/down(autoneg)     00:1b:17:32:a9:12
ethernet1/5             20    ukn/ukn/down(autoneg)     00:1b:17:32:a9:14
ethernet1/6             21    ukn/ukn/down(autoneg)     00:1b:17:32:a9:15

aggregation groups: 0


total configured logical interfaces: 5

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/2         17    1    L3-Trust         vr:default               0      10.201.1.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                                2602:fe6a:a:2::1/64
ethernet1/2.3892    310   1    L3-DMZ           vr:default               3892   10.201.99.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                               2602:fe6a:a:d99:21b:17ff:fe32:a911/64

ethernet1/3         18    1    L3-Untrust       vr:default               0      10.46.40.58/23
ethernet1/5         20    1    L3-DMZ           vr:default               0      10.46.44.58/23
ethernet1/6         21    1    L3-Trust         vr:default               0      192.168.58.1/24

• Aus dem Screenshot oben GUI zeigt die statische Adresse als "2602:fe6a:a:d99::1/64"
• Aber von CLI der Schnittstelle Adresse ist "2602:fe6a:a:d99:21b:17ff:fe32:a911/64".
• Daher können wir die statische Adresse nicht anpingen.

• PAN-OS 8.1
• Layer 3 IPv6-Schnittstelle oder Unterschnittstelle

• Wenn "Schnittstelle ID als Hostteil verwenden" auf der IPv6-Schnittstelle aktiviert ist, verwendet der firewall die Schnittstelle als ID Hostteil dieser Adresse.
• Wenn die Schnittstelle eine statische IPv6-Adresse hat und "Schnittstelle ID als Hostteil verwenden" aktiviert ist. Firewall hat Vorrang vor der statischen Adresse und der Verwendungsadresse, die über die Schnittstelle generiert ID wird.

1. Wenn Sie der Schnittstelle eine statische IPv6-Adresse zuweisen, stellen Sie sicher, dass "Schnittstelle ID als Hostteil verwenden" auf der Schnittstelle deaktiviert ist. Wenn diese Optionen aktiviert sind, verwendet der firewall die ID Schnittstelle, um eine IPv6-Adresse zu generieren und der Schnittstelle zuzuweisen.  

1. Geben Sie für Schnittstelle ID den 64-Bit-erweiterten eindeutigen Bezeichner ( EUI-64 ) im hexadezimalen Format ein (z. B. 00:26:08: FF : : FE DE :4E:29).
2. Wenn Sie dieses Feld leer lassen, firewall verwendet der die EUI-64 generierte aus der Adresse der physischen MAC Schnittstelle generiert.
3. Wenn Sie beim Hinzufügen einer Adresse die Option Schnittstelle als Hostteil verwenden ID aktivieren, verwendet der firewall die Schnittstelle ID als Hostteil dieser Adresse.