La sous-interface Layer3 ne passe pas le trafic IPv6

• Client a configuré une adresse IPV6 statique sur la configuration de l’interface et ils ont également sélectionné « Utiliser l’interface ID comme partie hôte »

• Même si l’adresse IPV6 a été définie sur l’interface, le client n’a pas été en mesure de ping la sous-interface IPv6 adresse « 2602:fe6a:a:d99::1/64 ».
• Lors du ping à partir d’un hôte IPV6 à firewall la sous-interface, vous pouvez voir que les messages de sollicitation voisin étant transmis à la firewall , mais il n’y avait pas de réponse. Voir la capture de paquets du client ci-dessous :

user1@ubuntu-49-59:~$ sudo tcpdump -vvveni eth1
[sudo] password for user1:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
05:38:39.293587 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:40.291867 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:41.291859 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:42.309129 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:43.307873 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd

• Sur le firewall , les commandes suivantes peuvent être utilisées pour déterminer l’adresse IPv6 attribuée à l’interface.

admin@Lab32-58-PA-500> show interface all

total configured hardware interfaces: 4

name                    id    speed/duplex/state        mac address
--------------------------------------------------------------------------------
ethernet1/2             17    1000/full/up              00:1b:17:32:a9:11
ethernet1/3             18    ukn/ukn/down(autoneg)     00:1b:17:32:a9:12
ethernet1/5             20    ukn/ukn/down(autoneg)     00:1b:17:32:a9:14
ethernet1/6             21    ukn/ukn/down(autoneg)     00:1b:17:32:a9:15

aggregation groups: 0


total configured logical interfaces: 5

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/2         17    1    L3-Trust         vr:default               0      10.201.1.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                                2602:fe6a:a:2::1/64
ethernet1/2.3892    310   1    L3-DMZ           vr:default               3892   10.201.99.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                               2602:fe6a:a:d99:21b:17ff:fe32:a911/64

ethernet1/3         18    1    L3-Untrust       vr:default               0      10.46.40.58/23
ethernet1/5         20    1    L3-DMZ           vr:default               0      10.46.44.58/23
ethernet1/6         21    1    L3-Trust         vr:default               0      192.168.58.1/24

• De la capture d’écran GUI ci-dessus montre l’adresse statique comme « 2602:fe6a:a:d99::1/64 »
• Mais de CLI l’adresse de l’interface est « 2602:fe6a:a:d99:21b:17ff:fe32:a911/64 ».
• Par conséquent, nous ne sommes pas en mesure de ping l’adresse statique.

• PAN-OS 8.1
• Interface ou sous-interface IPv6 de la couche 3

• Avec « Utiliser l’interface ID en tant que partie hôte » est activé sur l’interface IPv6, firewall l’utilise ID l’interface comme la partie hôte de cette adresse.
• Si l’interface a une adresse IPv6 statique et « Utiliser l’interface ID comme partie hôte » activé. Firewall aura préséance sur l’adresse statique et l’adresse d’utilisation générée à l’aide de l’interface ID .

1. Si vous attribuez une adresse IPv6 statique à l’interface, assurez-vous que « Utiliser l’interface ID en tant que partie hôte » est désactivée sur l’interface. Si ces options sont activées, firewall l’interface utilisera l’interface ID pour générer une adresse IPv6 et l’affecter à l’interface.  

1. Pour Interface ID , entrez l’identificateur unique étendu 64 bits ( EUI-64 ) en format hexadecimal (par exemple, 00:26:08: FF : FE DE :4E:29).
2. Si vous laissez ce champ vide, les firewall utilisations générées EUI-64 à partir de MAC l’adresse de l’interface physique.
3. Si vous activez l’interface Utilisation ID en tant qu’option de partie hôte lors de l’ajout firewall d’une adresse, ID l’interface utilise l’interface comme partie hôte de cette adresse.