Emisiones de red (.255) que se descartan

Emisiones de red (.255) que se descartan

18446
Created On 03/18/19 16:38 PM - Last Modified 03/26/21 18:22 PM


Symptom


La firewall emisión de la cadena está cayendo terminando en "255".

Environment


PAN-OS todos

Cause


Desde la firewall perspectiva, nuestro tráfico no es nada especial de src 192.168.0.11, con IP destino de la dirección de transmisión dirigida del host objetivo dst 192.168.0.255 puerto 137; y suponiendo que coincida con un policy permiso, el paquete debe ser reenviado. Sin embargo, surge un problema cuando el host de destino está en la misma subred que el firewall archivo . Esto se deriva de la forma en que PanOS trata las direcciones de red.

PanOS no restringe el uso de las direcciones 'network' y 'broadcast' como direcciones de host válidas (por ejemplo, en un rango de subred típico de /24 normalmente no se permiten las direcciones .0 y .255, pero PanOS las permite y las trata de forma diferente a cualquier otro host del intervalo). Por lo tanto, cuando el firewall recibe un paquete destinado a la dirección de broadcast dirigida, no hay asignación automática a la dirección de MAC broadcast. Suponiendo que el paquete sea permitido por policy , el enviará una solicitud para el firewall ARP- IP destino, pero por supuesto ningún host responderá y el paquete será caído.

Resolution


Hay 2 opciones:
  1. Cvolver a colocar una regla de caída para él. Usted puede configurarlo para el registro primero sólo para asegurarse de que el tráfico y la regla está funcionando correctamente. Entonces podríamos desactivar el registro para liberar recursos para el registro
  2. A se requiere una entrada estática ARP para asignar la difusión dirigida a la dirección de difusión IP MAC prevista.

Cómo configurar Estático ARP :
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Static- ARP- on-the-Palo-Alto-Networks- Firewall /ta-p/59758

Esto sería sólo para reducir el ARP procesamiento e impedir ataques de hombre en el medio para las direcciones especificadas (broadcast).
La MAC interfaz que usted utiliza es la interfaz L3 siendo afectada. Usted haría esto solamente para las interfaces que experimentan el problema.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boLYCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language