DHCP ブランチ間のセッションFWとして構成DHCPリレーとDHCPサーバーHub入る場所DISCARD停電後の様子。
10710
Created On 02/01/22 16:12 PM - Last Modified 05/07/24 18:43 PM
Symptom
- ブランチ オフィスのクライアント デバイスが取得できないIP住所
- 支店所在地FW、DHCP間のセッションFW(DHCPリレー) とDHCPのサーバーHub場所はDISCARD州
admin@Lab70-158-PA-220> show session all filter application dhcp
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
64858 dhcp DISCARD FLOW NS 192.168.2.1[67]/L3-Trust/17 (10.129.72.158[53110])
vsys1 192.168.1.5[67]/L3-Untrust (192.168.1.5[67])
- DISCARD セッションの終了理由はpolicy-appid による拒否policyルックアップ拒否
admin@Lab70-158-PA-220> show session id 64858
Session 64858
c2s flow:
source: 192.168.2.1 [L3-Trust]
dst: 192.168.1.5
proto: 17
sport: 67 dport: 67
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 192.168.1.5 [L3-Untrust]
dst: 10.129.72.158
proto: 17
sport: 67 dport: 53110
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
start time : Fri Jan 28 04:23:30 2022
timeout : 60 sec
time to live : 58 sec
total byte count(c2s) : 8312
total byte count(s2c) : 0
layer7 packet count(c2s) : 24
layer7 packet count(s2c) : 0
vsys : vsys1
application : dhcp
rule : vsys1+interzone-default
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
address/port translation : source
nat-rule : Trust-NAT(vsys1)
layer7 processing : enabled
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
session terminate tunnel : False
captive portal session : False
ingress interface : ethernet1/2
egress interface : ethernet1/1
session QoS rule : N/A (class 4)
tracker stage firewall : appid policy lookup deny
end-reason : policy-deny
Environment
- NGFW Firewall
- LSVPN
- 間の動的ルーティングhubを使用したサテライトの場所 BGP
- 支店所在地firewallとして構成されたインターフェイスを持っていますDHCPリレー
Cause
- DHCP (UDP ) セッションは、トンネルが稼働しているときに最初に作成/許可されます (予想されるセキュリティと一致します)policy ) トンネルを通過します (ゾーン: Trust -> Trust)
- トンネルが崩れると、BGP学習したルート (トンネル ピアリング経由) が削除され、デフォルト ルートが有効になります
- 新しいDHCPトラフィックは、「潜在的な」セキュリティを介して新しいセッション (スローパス) を作成しますpolicy一致しますが、その後app-id が実行され、firewallすることを決定しますDISCARDセッション (適切なセキュリティ ポリシーに基づく予想どおり) (ゾーン: Trust -> Untrust;DHCP禁じられている)
- セッションが作成される前にセッションがブロックされていないため (以前に一致する可能性があるため)app -idが決定されます)、DISCARDセッションは、同じ 6 タプルを持つ新しいトラフィックで更新されます
- トンネルが復旧しても、トラフィックはまだ古い (DISCARD )セッション、したがって、新しいセッションの作成を許可せず、DHCP転送されるトラフィック
Resolution
回避策があります。
- ポートベースの Trust -> Untrust 方向をターゲットとする厳格な拒否ルールを上部に作成し、潜在的なセキュリティを回避します。policy前に一致app-id が決定されます。これにより、トラフィックがスローパス ステージで拒否され、セッションが作成されないことが保証されます (後で手動でクリアする必要があります)。
- 上記と同様ですが、DoS を使用しますPolicy「拒否」アクションで。セキュリティ ポリシーの前に処理されるため、リソースの消費が少なく、特定の送信元/送信先のペアを照合できます
- デフォルト ルートよりも短い管理距離で、特定の宛先/出力インターフェイスに一致するスタティック ヌル (破棄) ルートを作成します。BGPルート;この場合、source/port/ で特定することはできません。app -id