DHCP 分支之间的会话FW配置为DHCP继电器和DHCP服务器在Hub位置进入DISCARD停电后的状态。
10704
Created On 02/01/22 16:12 PM - Last Modified 05/07/24 18:43 PM
Symptom
- 分支机构客户端设备无法获取IP地址
- 关于分行位置FW,DHCP之间的会话FW(DHCP继电器)和DHCP服务器在Hub位置被认为是在DISCARD状态
admin@Lab70-158-PA-220> show session all filter application dhcp
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
64858 dhcp DISCARD FLOW NS 192.168.2.1[67]/L3-Trust/17 (10.129.72.158[53110])
vsys1 192.168.1.5[67]/L3-Untrust (192.168.1.5[67])
- DISCARD 会话结束原因是policy-拒绝由于appidpolicy查找拒绝
admin@Lab70-158-PA-220> show session id 64858
Session 64858
c2s flow:
source: 192.168.2.1 [L3-Trust]
dst: 192.168.1.5
proto: 17
sport: 67 dport: 67
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 192.168.1.5 [L3-Untrust]
dst: 10.129.72.158
proto: 17
sport: 67 dport: 53110
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
start time : Fri Jan 28 04:23:30 2022
timeout : 60 sec
time to live : 58 sec
total byte count(c2s) : 8312
total byte count(s2c) : 0
layer7 packet count(c2s) : 24
layer7 packet count(s2c) : 0
vsys : vsys1
application : dhcp
rule : vsys1+interzone-default
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
address/port translation : source
nat-rule : Trust-NAT(vsys1)
layer7 processing : enabled
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
session terminate tunnel : False
captive portal session : False
ingress interface : ethernet1/2
egress interface : ethernet1/1
session QoS rule : N/A (class 4)
tracker stage firewall : appid policy lookup deny
end-reason : policy-deny
Environment
- NGFW Firewall
- LSVPN
- 之间的动态路由hub和卫星位置使用 BGP
- 分店位置firewall有一个接口配置为DHCP中继
Cause
- DHCP (UDP ) 会话最初是在隧道启动时创建/允许的(匹配预期的安全性policy) 并穿过隧道(区域:信任 -> 信任)
- 当隧道下沉时,BGP学到的路由(通过隧道对等)被删除,默认路由生效
- 新的DHCP流量通过“潜在”安全性创建新会话(慢速路径)policy匹配,但之后app-id 被执行,firewall决定DISCARD会话(如预期的那样,基于适当的安全策略)(区域:信任 -> 不信任;DHCP不允许)
- 由于会话在会话创建之前未被阻止(由于之前的潜在匹配app-id 确定),DISCARD使用相同的 6 元组的新流量刷新会话
- 当隧道备份时,流量可能仍在冲击/刷新旧的(DISCARD ) 会话,因此不允许创建新会话,并且DHCP要转发的流量
Resolution
有适当的解决方法:
- 在顶部针对基于端口的 Trust -> Untrust 方向创建严格的拒绝规则,避免潜在的安全性policy比赛之前app-id 已确定;这将确保流量在慢速路径阶段被拒绝并且不会创建会话(之后需要手动清除)
- 与上面类似,但使用 DoSPolicy使用“拒绝”操作;由于在安全策略之前进行处理,因此资源密集度较低,我们可以匹配特定的源/目标对
- 创建一个静态空(丢弃)路由匹配特定的目标/出口接口,其管理距离低于默认路由,但高于BGP路线;在这种情况下,我们不能对源/端口/app -ID