GlobalProtect Los clientes no pueden acceder a los recursos de forma intermitente después HA de la conmutación por error
9390
Created On 11/18/21 04:00 AM - Last Modified 03/02/23 02:33 AM
Symptom
- En alta disponibilidad, después de una conmutación por error, el cliente conectado GlobalProtect pierde el acceso a los recursos.
- A veces, los usuarios no pueden acceder a los recursos a través de GP.
- Global Counters en los CLI programas:
flow_tunnel_encap_err 1 0 drop flow tunnel Packet dropped: tunnel encapsulation error flow_tunnel_encap_resolve 1 0 info flow tunnel tunnel structure lookup resolve
- En el diag de paquetes (flujo básico, flujo de túnel), vemos:
- El paquete se reenvía a una interfaz de túnel incorrecta. Debe ser túnel.10 en lugar de túnel.11
- Paquete descartado, error de resolución de túnel
== 2021-11-17 20:28:10.191 -0600 ==
Packet received at fastpath stage, tag 213075, type ATOMIC
Packet info: len 74 port 72 interface 72 vsys 1
wqe index 551795 packet 0x0x800000037dcd00e6, HA: 0, IC: 0
Packet decoded dump:
L2: d4:78:9b:50:49:7f->b4:0c:25:e0:40:48, type 0x0800
IP: 8.8.8.8->172.16.16.16, protocol 1
version 4, ihl 5, tos 0x00, len 60,
id 20797, frag_off 0x0000, ttl 63, checksum 28257(0x6e61)
ICMP: type 0, code 0, checksum 21586, id 1, seq 265
Flow fastpath, session 213075 s2c (set work 0x800000037740d900 exclude_video 0 from sp 0x8000000193b65700 exclude_video 0)
Forwarding lookup, ingress interface 72
L3 mode, router 1
Route lookup in router 1, IP 172.16.16.16
Route found, interface tunnel.11, zone 18, nexthop 172.16.16.0
Packet enters tunnel encap stage, tunnel interface null
== 2021-11-17 20:28:10.192 -0600 ==
Packet received at forwarding stage, tag 213075, type ATOMIC
Packet info: len 74 port 72 interface 132 vsys 1
wqe index 551795 packet 0x0x800000037dcd00e6, HA: 0, IC: 0
Packet decoded dump:
L2: d4:78:9b:50:49:7f->b4:0c:25:e0:40:48, type 0x0800
IP: 8.8.8.8->172.16.16.16, protocol 1
version 4, ihl 5, tos 0x00, len 60,
id 20797, frag_off 0x0000, ttl 62, checksum 28513(0x6f61)
ICMP: type 0, code 0, checksum 21586, id 1, seq 265
Packet enters tunnel encap stage, tunnel interface null
Resolving tunnel 6
Packet dropped, tunnel resolution failure
- En cuanto a la tabla de rutas, vemos dos rutas para el grupo de GP clientes IP . En la tabla, se está instalando una FIB ruta inesperada a través del túnel.11.
admin@Lab(active)> show routing fib | match 172.16.16 422 172.16.16.0/24 172.16.16.0 ug tunnel.11 1500 admin@Lab(active)> show routing route | match 172.16.16 172.16.16.0/24 172.16.16.0 10 A S E tunnel.11 172.16.16.0/24 172.16.16.0 10 S E tunnel.10
Environment
- Firewall Configurado con varias configuraciones de Global Protect Gateway
Cause
- La razón por la que se ven dos rutas en la tabla de enrutamiento es porque se usa la misma subred del grupo de clientes IP en varias GP puertas de enlace.
- En este ejemplo, ambos GW: GP_External_Gateway y GP_External_Gateway_CL usan un grupo de clientes IP 172.16.16.0/24:
Resolution
- No superponga la subred del grupo de clientes IP del usuario en varias GP puertas de enlace.