レイヤ 3 サブインターフェイスが IPv6 トラフィックを通過しない

レイヤ 3 サブインターフェイスが IPv6 トラフィックを通過しない

13201
Created On 03/05/19 22:25 PM - Last Modified 03/26/21 18:21 PM


Symptom


  • クライアントはインターフェイス設定で静的 IPV6 アドレスを設定し、" ID ホスト部分としてインターフェイスを使用する" も選択しています。
 
ユーザー追加イメージ
  • IPV6 アドレスがインターフェイスで定義されていたとしても、クライアントはサブインターフェイスの IPv6 アドレス "2602:fe6a:a:d99::1/64" に ping を実行できませんでした。
  • IPV6 ホストからサブインターフェイスに ping firewall を実行すると、ネイバー要請メッセージが に転送されているのがわかります firewall が、応答はありませんでした。 以下のクライアントからのパケット キャプチャを参照してください。
 
user1@ubuntu-49-59:~$ sudo tcpdump -vvveni eth1
[sudo] password for user1:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
05:38:39.293587 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:40.291867 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:41.291859 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:42.309129 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
05:38:43.307873 00:50:56:81:f0:fd > 33:33:ff:00:00:01, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2602:fe6a:a:d99:ff59:72db:2d58:9631 > ff02::1:ff00:1: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2602:fe6a:a:d99::1
          source link-address option (1), length 8 (1): 00:50:56:81:f0:fd
            0x0000:  0050 5681 f0fd
  • firewallでは、次のコマンドを使用して、インターフェイスに割り当てられた IPv6 アドレスを決定できます。
admin@Lab32-58-PA-500> show interface all

total configured hardware interfaces: 4

name                    id    speed/duplex/state        mac address
--------------------------------------------------------------------------------
ethernet1/2             17    1000/full/up              00:1b:17:32:a9:11
ethernet1/3             18    ukn/ukn/down(autoneg)     00:1b:17:32:a9:12
ethernet1/5             20    ukn/ukn/down(autoneg)     00:1b:17:32:a9:14
ethernet1/6             21    ukn/ukn/down(autoneg)     00:1b:17:32:a9:15

aggregation groups: 0


total configured logical interfaces: 5

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/2         17    1    L3-Trust         vr:default               0      10.201.1.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                                2602:fe6a:a:2::1/64
ethernet1/2.3892    310   1    L3-DMZ           vr:default               3892   10.201.99.1/24
                                                                                fe80::21b:17ff:fe32:a911/64
                                                                               2602:fe6a:a:d99:21b:17ff:fe32:a911/64

ethernet1/3         18    1    L3-Untrust       vr:default               0      10.46.40.58/23
ethernet1/5         20    1    L3-DMZ           vr:default               0      10.46.44.58/23
ethernet1/6         21    1    L3-Trust         vr:default               0      192.168.58.1/24
  • 上のスクリーンショットから GUI 、静的アドレスは"2602:fe6a:a:d99::1/64"と表示されています。
  • しかし、 CLI インターフェイスアドレスから"2602:fe6a:a:d99:21b:17ff:fe32:a911/64"です。
  • したがって、静的アドレスに ping を実行できません。

Environment


  • PAN-OS 8.1
  • レイヤ 3 IPv6 インターフェイスまたはサブインターフェイス

Cause


  • IDIPv6 インターフェイスで「ホスト部分としてインターフェイスを使用」が有効になっている場合、この firewall インターフェイス ID は、そのアドレスのホスト部分として使用されます。
  • インターフェイスに静的 IPv6 アドレスがあり、「 ID ホスト部分としてインターフェイスを使用する」が有効になっている場合。 Firewall は静的アドレスより優先され、インターフェイスを使用して生成されたアドレスを使用 ID します。

Resolution


  1. 静的 IPv6 アドレスをインターフェイスに割り当てる場合は、インターフェイスで [インターフェイスを ID ホスト部分として使用する] が無効になっていることを確認してください。 このオプションが有効になっている場合、 firewall はインターフェイスを使用 ID して IPv6 アドレスを生成し、インターフェイスに割り当てます。  

NOTE:
ドキュメントに従って: https://docs.paloaltonetworks.com/ pan-os /8-1/ pan-os -admin/ネットワーク/設定インターフェイス/レイヤ 3 インターフェイス/レイヤ 3 インターフェイスを設定します。
  1. [インターフェイス ID ] に、64 ビット拡張一意識別子 ( EUI-64 ) を 16 進形式で入力します (たとえば、00:26:08: FF : FE DE :4E:29)。
  2. このフィールドを空白のままにすると、 firewall EUI-64 物理インターフェースのアドレスから生成された が 使用 MAC されます。
  3. アドレスを追加するときに[ホスト部分としてインターフェイスを使用] ID オプションを有効にすると、アドレス firewall ID のホスト部分としてインターフェイスが使用されます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boH7CAI&lang=ja%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language