Comportement « Adresse usurpée IP » et « Vérification stricte de IP l’adresse » avec PA-VM en AWS mode déployé GWLB .
Symptom
Le trafic est interrompu PA-VM en mode déployé GWLB lorsque le profil de protection de zone est appliqué avec « Adresse usurpée IP » et/ou « Vérification stricte de IP AWS l’adresse ».
Environment
PA-VM en AWS mode déployé avec GWLB le profil de protection de zone appliqué sur les sous-interfaces.
La configuration avec PA-VM en AWS mode déployé GWLB ressemble à Router sur une configuration de clé.
name id vsys zone forwarding tag address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/1 16 1 Zone1 vr:virtual-router 0 10.11.0.241/24
ethernet1/1.100 256 1 Zone2 vr:virtual-router 100 N/A
ethernet1/1.200 257 1 Zone3 vr:virtual-router 200 N/A
ethernet1/1.300 258 1 Zone4 vr:virtual-router 300 N/A
Cependant, une différence majeure est que même lorsque les sous-interfaces sont de type « Couche 3 », il n’y aura pas IP d’affectation à ces sous-interfaces et pas d’itinéraires pointant vers ces sous-interfaces.
admin@PA-vm> show interface ethernet1/1.100
--------------------------------------------------------------------------------
Name: ethernet1/1.100, ID: 256, 802.1q tag: 100
Operation mode: layer3
Virtual router virtual-router
Interface MTU 1500
Interface management profile: N/A
Service configured:
Zone: obew-ap-southeast-1, virtual system: vsys1
Adjust TCP MSS: no
Policing: no
Les décisions de transfert sont prises en fonction VPC du mappage du point de terminaison à la sous-interface.
Reportez-vous à l’article suivant pour plus de détails sur le VPC mappage des points de terminaison à la sous-interface.
vm-serieshttps://docs.paloaltonetworks.com//10-1/vm-series-deployment/set-up-the--vm-series-firewallon-aws/vm-series-integration-with-gateway-load-balancer/integrate-the--with-an-aws-gateway-load-balancervm-series/associate-a-vpc-endpoint-with-a--vm-seriesinterface.html#idfa08d566-ce68-4733-a17f-b67ae9110aa9Dans
la table de routage, les itinéraires seront mappés uniquement à l’interface parent (e1/1 dans notre exemple).
Toutefois, lorsqu’un profil de protection de zone avec la vérification « Adresse usurpée IP » est appliqué aux zones associées à la sous-interface, tout le trafic frappant la sous-interface disparaît sous forme IP de paquet usurpé avec flow_dos_pf_ipspoof compteurs globaux.
admin@PA-vm> show routing route
{noformat}
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast
VIRTUAL ROUTER: virtual-router (id 2)
==========
destination nexthop metric flags age interface next-AS
0.0.0.0/0 10.11.0.1 10 A S ethernet1/1
10.11.0.0/24 10.11.0.241 0 A C ethernet1/1
10.11.0.241/32 0.0.0.0 0 A H
Cause
« Adresse usurpée IP » et « Vérification stricte de IP l’adresse » ne sont pas pris en charge PA-VM en AWS mode déployé GWLB .
IP l’usurpation d’identité est déjà gérée par AWS et elle est activée AWS par défaut.
Nous vous recommandons d’avoir un groupe de sécurité réseau fort avec une communication à l’intérieur du sous-réseau vers le GWLB.
Étant donné qu’un AWS puissant anti-usurpation policy est activé par défaut, cette fonctionnalité n’a pas été jugée nécessaire sur PA-VM Firewall.
Resolution
Désactivez les options « Adresse usurpée IP » et « Vérification stricte de IP l’adresse » dans les profils de protection de zone associés.