网络广播 (.255) 被丢弃
18452
Created On 03/18/19 16:38 PM - Last Modified 03/26/21 18:22 PM
Symptom
firewall正在放弃以"255"结尾的网络广播。
Environment
PAN-OS 所有
Cause
从 firewall 角度看,我们的流量与 src 192.168.0.11 没有什么特别之处, IP 目标主机的定向广播地址 dst 192.168.0.255 端口 137;假设它与许可证匹配 policy ,应转发数据包。 但是,当目标主机与目标主机处于同一子网中时,就出现了问题 firewall 。 这源于 PanOS 处理网络地址的方式。
PanOS 不限制将"网络"和"广播"地址用作有效的主机地址(例如,在典型的 /24 子网范围内,通常不允许使用 。0 和 。255 地址,但 PanOS 允许这些地址,并且对待它们与范围内的任何其他主机没有区别)。 因此,当 firewall 接收到定向广播地址的包时,广播地址没有自动映射 MAC 。 假设数据包是允许的 policy , firewall 则会发出 ARP- 目标请求 IP ,但当然没有主机会响应,数据包将被丢弃。
Resolution
有 2 个选项:
- C重新制定一个下降规则。 您可以先将其设置为记录,以确保流量和规则正常工作。 然后,我们可以禁用伐木以腾空资源进行伐木
- A 需要静态 ARP 条目才能将定向广播映射 IP 到预定的广播 MAC 地址。
如何配置静态 ARP :https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Static
ARP- 在帕洛-阿尔托网络 Firewall -/ta-p/59758
这只是为了减少 ARP 处理和排除指定地址(广播)的中间人攻击。
MAC您使用的界面是L3接口受到影响。 您仅针对遇到此问题的界面这样做。