在模式中GWLBAWS部署时的IPPA-VM"欺骗地址"和"严格IP地址检查"行为。

在模式中GWLBAWS部署时的IPPA-VM"欺骗地址"和"严格IP地址检查"行为。

1871
Created On 02/07/22 08:12 AM - Last Modified 07/29/25 01:38 AM


Symptom


当使用"欺骗地址"和/或"严格IP地址检查"应用区域保护配置文件时,IP在部署模式下GWLB丢弃PA-VMAWS流量。

Environment


PA-VM 在 AWS 部署模式下 GWLB ,在子接口上应用区域保护配置文件。

PA-VM在模式下部署GWLB的AWS设置类似于棒配置上的路由器。

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/1         16    1    Zone1            vr:virtual-router        0      10.11.0.241/24
ethernet1/1.100     256   1    Zone2            vr:virtual-router        100    N/A
ethernet1/1.200     257   1    Zone3            vr:virtual-router        200    N/A
ethernet1/1.300     258   1    Zone4            vr:virtual-router        300    N/A


但是,一个主要区别是,即使子接口类型为"第 3 层",也不会 IP 为这些子接口分配任何路由,也不会指向这些子接口。

admin@PA-vm> show interface ethernet1/1.100
--------------------------------------------------------------------------------
Name: ethernet1/1.100, ID: 256, 802.1q tag: 100
Operation mode: layer3
Virtual router virtual-router
Interface MTU 1500
Interface management profile: N/A
Service configured: 
Zone: obew-ap-southeast-1, virtual system: vsys1
Adjust TCP MSS: no
Policing: no


转发决策是根据VPC端点到子接口的映射做出的。
有关端点到子接口映射的更多详细信息VPC,请参阅以下文章。
vm-serieshttps://docs.paloaltonetworks.com//10-1/vm-series-deployment/set-up-the-on-awsfirewallvm-series/vm-series-integration-with-gateway-load-balancer/integrate-the-with-an-aws-gateway-load-balancervm-series/associate-a-vpc-endpoint-with-a-interfacevm-series.html#idfa08d566-ce68-4733-a17f-b67ae9110aa9

在路由表中,路由将仅映射到父接口(在我们的示例中为e1/1)。
但是,当将具有"欺骗IP地址"检查的区域保护配置文件应用于与子接口关联的区域时,命中子接口上的所有流量都将作为IP具有flow_dos_pf_ipspoof全局计数器的欺骗数据包丢弃。

admin@PA-vm> show routing route
{noformat}
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
       Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast


VIRTUAL ROUTER: virtual-router (id 2)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS

0.0.0.0/0                                   10.11.0.1                              10     A S              ethernet1/1
10.11.0.0/24                                10.11.0.241                            0      A C              ethernet1/1
10.11.0.241/32                              0.0.0.0                                 0      A H


 

Cause


在部署模式下GWLB不支持AWSPA-VM"欺骗IP地址"和"严格IP地址检查"。
IP欺骗已由AWS处理,默认情况下处于AWS启用状态。
我们建议使用一个强大的网络安全组,该组在子网内与 GWLB.
由于AWS默认情况下启用了强大的反欺骗policy功能,因此 在 上PA-VM Firewall认为不需要此功能。

 

Resolution


禁用关联区域保护配置文件中的"欺骗 IP 性地址"和"严格 IP 地址检查"选项。

ZPP_AWS_1。PNG


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N7ECAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language