DHCP las sesiones entre la rama configurada como Retransmisión y DHCP el servidor en la FW ubicación entran en DISCARD Hub estado después de un corte de energía.DHCP

• Los dispositivos cliente de la sucursal no pueden obtener IP direcciones
• En la ubicación de sucursal , DHCP las sesiones entre ( FWDHCP Relay) y el DHCP servidor en la Hub ubicación FWse ven en un DISCARD estado

admin@Lab70-158-PA-220> show session all filter application dhcp

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
64858        dhcp           DISCARD FLOW  NS   192.168.2.1[67]/L3-Trust/17  (10.129.72.158[53110])
vsys1                                          192.168.1.5[67]/L3-Untrust  (192.168.1.5[67])

• DISCARD El motivo final de la sesión es policy-deny debido a la búsqueda de appid policy deny

admin@Lab70-158-PA-220> show session id 64858

Session           64858

        c2s flow:
                source:      192.168.2.1 [L3-Trust]
                dst:         192.168.1.5
                proto:       17
                sport:       67              dport:      67
                state:       DISCARD         type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      192.168.1.5 [L3-Untrust]
                dst:         10.129.72.158
                proto:       17
                sport:       67              dport:      53110
                state:       DISCARD         type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Fri Jan 28 04:23:30 2022
        timeout                              : 60 sec
        time to live                         : 58 sec 
        total byte count(c2s)                : 8312
        total byte count(s2c)                : 0
        layer7 packet count(c2s)             : 24
        layer7 packet count(s2c)             : 0
        vsys                                 : vsys1
        application                          : dhcp  
        rule                                 : vsys1+interzone-default
        service timeout override(index)      : False
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        address/port translation             : source
        nat-rule                             : Trust-NAT(vsys1)
        layer7 processing                    : enabled
        URL filtering enabled                : False
        session via syn-cookies              : False
        session terminated on host           : True
        session traverses tunnel             : False
        session terminate tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/2
        egress interface                     : ethernet1/1
        session QoS rule                     : N/A (class 4)
        tracker stage firewall               : appid policy lookup deny
        end-reason                           : policy-deny

• NGFW Firewall
• LSVPN
• Enrutamiento dinámico entre hub ubicaciones y satélites utilizando BGP
• La ubicación de firewall la sucursal tiene una interfaz configurada como DHCP un relé

• DHCP (UDP) la sesión se crea/permite inicialmente cuando el túnel está activo (coincidiendo con la seguridad policyesperada) y pasando por el túnel (zonas: Confianza -> Confianza)
• Cuando el túnel se cae, BGP la ruta aprendida (a través de la interconexión del túnel) se elimina y la ruta predeterminada entra en vigor
• El nuevo DHCP tráfico crea una nueva sesión (slowpath) a través de una coincidencia de seguridad "potencial", pero después appde realizar -id, decide iniciar DISCARD sesión (como se esperaba, firewall según las políticas de seguridad policy vigentes) (zonas: Confianza -> Desconfianza; DHCP no permitido)
• Dado que la sesión no se bloquea antes de la creación de la sesión (debido a la posible coincidencia antes appde que se determine -id), la sesión se actualiza con nuevo tráfico con la misma tupla de 6 tuplas. DISCARD
• Cuando el túnel está de nuevo, el tráfico todavía puede estar golpeando/actualizando la sesión anterior (DISCARD), lo que no permite crear la nueva y DHCP reenviar el tráfico.

1. Crear una regla de denegación estricta en la parte superior dirigida Confianza -> Dirección de desconfianza basada en puertos, evitando posibles coincidencias de seguridad policy antes appde que se determine -id; Esto asegurará que el tráfico se deniegue en la etapa de ruta lenta y no cree una sesión (que debe borrarse manualmente después)
2. Similar al anterior, pero usando DoS Policy con la acción "Denegar"; Es menos intensivo en recursos ya que se procesa antes de las políticas de seguridad, y podemos hacer coincidir pares específicos de origen / destino.
3. Crear una ruta estática nula (Descartar) que coincida con una interfaz de destino/salida específica con una distancia de administración inferior a la ruta predeterminada, pero superior a BGP la ruta; En este caso no podemos ser tan específicos con source/port/app-id