GlobalProtect Clients ne pouvant pas accéder aux ressources par intermittence après HA le basculement

GlobalProtect Clients ne pouvant pas accéder aux ressources par intermittence après HA le basculement

9396
Created On 11/18/21 04:00 AM - Last Modified 03/02/23 02:34 AM


Symptom


  • Dans la haute disponibilité, après un basculement, le client connecté GlobalProtect perd l’accès aux ressources.
  • Parfois, les utilisateurs ne sont pas en mesure d’accéder aux ressources sur GP.
  • Global Counters sur les CLI salons:
flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error
flow_tunnel_encap_resolve                  1        0 info      flow      tunnel    tunnel structure lookup resolve
  • Dans le diag de paquet (flux de base, flux de tunnel), nous voyons:
    • Le paquet est transmis à une interface de tunnel incorrecte. Ce devrait être tunnel.10 au lieu de tunnel.11
Image ajoutée par l'utilisateur
  • Paquet abandonné, échec de résolution du tunnel
== 2021-11-17 20:28:10.191 -0600 ==
Packet received at fastpath stage, tag 213075, type ATOMIC
Packet info: len 74 port 72 interface 72 vsys 1
  wqe index 551795 packet 0x0x800000037dcd00e6, HA: 0, IC: 0
Packet decoded dump:
L2:     d4:78:9b:50:49:7f->b4:0c:25:e0:40:48, type 0x0800
IP:     8.8.8.8->172.16.16.16, protocol 1
        version 4, ihl 5, tos 0x00, len 60,
        id 20797, frag_off 0x0000, ttl 63, checksum 28257(0x6e61)
ICMP:   type 0, code 0, checksum 21586, id 1, seq 265
Flow fastpath, session 213075 s2c (set work 0x800000037740d900 exclude_video 0 from sp 0x8000000193b65700 exclude_video 0)
Forwarding lookup, ingress interface 72
L3 mode, router 1
Route lookup in router 1, IP 172.16.16.16
Route found, interface tunnel.11, zone 18, nexthop 172.16.16.0
Packet enters tunnel encap stage, tunnel interface null


== 2021-11-17 20:28:10.192 -0600 ==
Packet received at forwarding stage, tag 213075, type ATOMIC
Packet info: len 74 port 72 interface 132 vsys 1
  wqe index 551795 packet 0x0x800000037dcd00e6, HA: 0, IC: 0
Packet decoded dump:
L2:     d4:78:9b:50:49:7f->b4:0c:25:e0:40:48, type 0x0800
IP:     8.8.8.8->172.16.16.16, protocol 1
        version 4, ihl 5, tos 0x00, len 60,
        id 20797, frag_off 0x0000, ttl 62, checksum 28513(0x6f61)
ICMP:   type 0, code 0, checksum 21586, id 1, seq 265
Packet enters tunnel encap stage, tunnel interface null
Resolving tunnel 6
Packet dropped, tunnel resolution failure
  • En regardant la table de routage, nous voyons deux itinéraires pour le pool de GP clients IP . Dans le tableau, route FIB inattendue à travers tunnel.11 est en cours d’installation.
admin@Lab(active)> show routing fib | match 172.16.16
422     172.16.16.0/24         172.16.16.0         ug     tunnel.11          1500

admin@Lab(active)> show routing route | match 172.16.16
172.16.16.0/24                              172.16.16.0                              10     A S E            tunnel.11                     
172.16.16.0/24                              172.16.16.0                              10       S E            tunnel.10
 

Environment


  • Firewall Configuré avec plusieurs configurations Global Protect Gateway

Cause


  • La raison pour laquelle deux itinéraires sont visibles dans la table de routage est que le même sous-réseau de pool de clients IP est utilisé dans plusieurs GP passerelles.
  • Dans cet exemple, les deux GW : GP_External_Gateway et GP_External_Gateway_CL utilisent le pool de clients IP 172.16.16.0/24 :
Image ajoutée par l'utilisateur

Resolution


  • Ne pas user chevauchant le sous-réseau du groupe de clients IP dans plusieurs GP passerelles.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MNVCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language