La subinterfaz Layer3 no pasa tráfico IPv6

• El cliente ha configurado una dirección IPV6 estática en la configuración de la interfaz y también han seleccionado "Usar interfaz ID como parte del host"

• Aunque la dirección IPV6 fue definida en la interfaz, el cliente no pudo hacer ping la dirección IPv6 de la sub-interfaz "2602:fe6a:a:d99::1/64".
• Al hacer ping desde un host IPV6 a la firewall subinterfaz, se podía ver que los mensajes de solicitud de vecino se reenvían al firewall archivo , pero no hubo respuesta. Vea la captura de paquetes del cliente abajo:

user1@ubuntu-49-59:~$ sudo tcpdump -vvveni eth1
[sudo] password for user1:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
05:38:39.293587 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:40.291867 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:41.291859 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:42.309129 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:43.307873 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd

• En el firewall archivo , se pueden utilizar los siguientes comandos para determinar la dirección IPv6 asignada a la interfaz.

admin@Lab32-58-PA-500> show interface all

total configured hardware interfaces: 4

name                    id    speed/duplex/state        mac address
--------------------------------------------------------------------------------
ethernet1/2             17    1000/full/up              00:1b:17:32:a9:11
ethernet1/3             18    ukn/ukn/down(autoneg)     00:1b:17:32:a9:12
ethernet1/5             20    ukn/ukn/down(autoneg)     00:1b:17:32:a9:14
ethernet1/6             21    ukn/ukn/down(autoneg)     00:1b:17:32:a9:15

aggregation groups: 0


total configured logical interfaces: 5

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/2         17    1    L3-Trust         vr:default               0      10.201.1.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                                2602:fe6a:a:2::1/64
ethernet1/2.3892    310   1    L3-DMZ           vr:default               3892   10.201.99.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                               2602:fe6a:a:d99:21b:17ff:fe32:a911/64

ethernet1/3         18    1    L3-Untrust       vr:default               0      10.46.40.58/23
ethernet1/5         20    1    L3-DMZ           vr:default               0      10.46.44.58/23
ethernet1/6         21    1    L3-Trust         vr:default               0      192.168.58.1/24

• Desde la captura de pantalla anterior se GUI muestra la dirección estática como "2602:fe6a:a:d99::1/64"
• Pero desde CLI la dirección de la interfaz es "2602:fe6a:a:d99:21b:17ff:fe32:a911/64".
• Por lo tanto, no podemos hacer ping a la dirección estática.

• PAN-OS 8.1
• Interfaz IPv6 de capa 3 o subconserz

• Con "Usar interfaz ID como parte del host" se habilita en la interfaz IPv6, el firewall utiliza la interfaz como la parte del host de esa ID dirección.
• Si la interfaz tiene habilitada una dirección IPv6 estática y "Usar interfaz ID como parte del host". Firewall tendrá prioridad sobre la dirección estática y la dirección de uso generada mediante la ID interfaz.

1. Si está asignando una dirección IPv6 estática a la interfaz, asegúrese de que "Usar interfaz ID como parte del host" esté deshabilitada en la interfaz. Si esa opción está habilitada, el firewall usará la interfaz ID para generar una dirección IPv6 y asignarla a la interfaz.  

1. En Interfaz ID , introduzca el identificador único extendido de 64 bits ( ) en formato EUI-64 hexadecimal (por ejemplo, 00:26:08: FF : : FE DE :4E:29).
2. Si deja este campo en blanco, firewall utilice los EUI-64 usos generados desde la MAC dirección de la interfaz física.
3. Si habilita la opción Usar interfaz ID como parte del host al agregar una dirección, la interfaz utiliza la interfaz como parte del host de esa firewall ID dirección.