PBF Moniteur ne fonctionne pas plus SD-WAN
12590
Created On 09/23/20 22:09 PM - Last Modified 03/26/21 18:38 PM
Symptom
- A PBF règle est configurée SD-WAN avec moniteur. Par exemple, dans la policy représentation ci-dessous eth1/6 est un membre de la SD-WAN connexion. Si le IP moniteur 8.8.8.8 n’est pas accessible sur SD-WAN le , la règle doit être désactivée.
GUI: Politiques --> Policy basé sur l'> - Nom
- En SD-WAN cas d’échec, PBF la règle reste active, ce qui empêche l’échec du trafic vers le lien de sauvegarde
Environment
- Toutes les versions de PAN-OS
- N’importe quel Palo Alto Firewall .
- Policy-Le forwarding basé est configuré.
- Environnements à double domicile.
Cause
La raison en est qu’aucun message de garde n’est envoyé ou reçu pour le moniteur IP :
rmcrae@s07fw> show pbf rule name PBF_DSL-Loadbalance
Rule: PBF_DSL-Loadbalance(12)
Rule State: Active
Action: Forward
Symmetric Return: No
Egress IF/VSYS: sdwan.1
NextHopType: IP
NextHop: 63.231.10.70
Monitor Slot: 0
Monitor IP: 8.8.8.8
NextHop Status: UP
Monitor: Action:Fail-Over, Interval:4, Threshold:6
Stats: KA sent:0, KA got:0, Packet Matched:42970054 <<===Pour que le moniteur fonctionne, une source valide IP est nécessaire pour atteindre la destination du moniteur. Toutefois, SD-WAN n’a pas IP d’adresse associée à elle par conséquent, les keepalives ne sont jamais générés.
Resolution
PBF moniteur n’est pas pris en charge SD-WAN plus .