So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_policy_nofwd"

So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_policy_nofwd"

6313
Created On 07/18/24 15:36 PM - Last Modified 04/17/25 19:07 PM


Objective


  • Um einen abnormalen Anstieg flow_policy_nofwd globalen Indikators abzuschwächen. 
    > show counter global filter delta yes
flow_policy_nofwd x y drop flow session Session setup: no destination zone from forwarding

  • Dieser Leistungsindikator wird in der Regel inkrementiert, wenn die Firewall die Ausgangsschnittstelle weder für eine Sitzungseinrichtung noch für die Weiterleitung finden kann. Einige der Bedingungen, unter denen dieser Leistungsindikator inkrementiert wird, sind wie folgt (entweder für die ursprüngliche IP oder für die NAT-IP):

    • Das Paket stimmte mit einer PBF-Regel überein, wobei der nächste Hop als Verwerfung angegeben wurde.
    • Für die Ziel-IP wurde keine Route gefunden.
    • Verwerfen Sie die für die Ziel-IP gefundene Route.
    • Die Ausgangsschnittstelle ist ungültig.
    • Der Eingangsschnittstellentyp befindet sich nicht zwischen Tap, vwire, Layer2 oder Layer3.
    • Das IPv6-Multicast-Paket ist zu groß (in diesem Fall würde ein anderer Zähler, den flow_ip6_mcast_pbf_drop ebenfalls inkrementieren, ebenfalls inkrementieren).
    • Für Versionen 9.1 und höher ist die SD-WAN-Mitgliedsschnittstelle nicht verfügbar (in diesem Fall wird ein anderer Zähler flow_sdwan_no_if_qualified ebenfalls inkrementiert).
    • In einer L2-Domäne ist die Ziel-MAC-Suche fehlgeschlagen, d. h. DMAC wurde in der MAC-Nachschlagetabelle nicht gefunden.

Environment


  • Firewall der nächsten Generation
  • Unterstütztes PAN-OS
  • Routingtabelle
  • flow_policy_nofwd globalen Zähler

Procedure


  1. Überprüfen Sie die Konfiguration der Schnittstellen, und stellen Sie sicher, dass sie mit dem richtigen Typ konfiguriert sind und Teil der richtigen Weiterleitungsentität sind: Stellen Sie z. B. für eine Layer3-Schnittstelle sicher, dass sie Teil des richtigen virtuellen Routers ist, stellen Sie für die Virtual Wire-Schnittstelle sicher, dass sie Teil des richtigen Virtual Wire ist.
  2. Überprüfen Sie die PBF-Regeln für die richtlinienbasierte Weiterleitung, und stellen Sie sicher, dass sie korrekt definiert sind. Navigieren Sie in der Benutzeroberfläche zu POLICIES > richtlinienbasierte Weiterleitung . Suchen Sie nach PBF-Regeln mit einer Verwerfungsaktion und stellen Sie deren Gültigkeit sicher.
  3. Überprüfen Sie die Routingkonfiguration des Netzwerks und der Firewall:
    1. Um die Routing-Tabelle zu überprüfen, verwenden Sie den CLI-Befehl: 
      show routing route
      Stellen Sie sicher, dass die Routen ordnungsgemäß konfiguriert sind, damit die Pakete ihre Ziele erreichen können. Fügen Sie fehlende oder falsche Routen in der Routing-Tabelle hinzu oder korrigieren Sie sie.
    2. Um die Weiterleitungstabelle zu überprüfen, verwenden Sie den CLI-Befehl: 
      show routing fib
      Stellen Sie sicher, dass die Routing-Protokolle aktualisiert und überprüft werden, um Fehlkonfigurationen zu vermeiden.
  4. Überprüfen Sie in einer Layer-2-Domäne die MAC-Adresstabelle mit dem CLI-Befehl: 
    show mac all
    und prüfen Sie, ob ein Eintrag fehlt oder falsch ist.
  5. Überprüfen Sie die Datenverkehrsprotokolle, und suchen Sie nach dem Datenverkehr, der von der Firewall verworfen wird. Navigieren Sie in der Benutzeroberfläche zu MONITOR > Traffic.
    1. Stellen Sie fest, ob das Paket durch eine falsch konfigurierte Sicherheitsrichtlinie verworfen wird.Passen Sie die Sicherheitsrichtlinien an, um einen ordnungsgemäßen Datenverkehrsfluss zwischen den Zonen zu gewährleisten.
    2. Wenn die Firewall ein Paket über einen Tunnel sendet, stellen Sie sicher, dass die Zielschnittstelle der Firewall im selben virtuellen Router wie die Tunnelschnittstelle platziert ist.
  6. Sobald die Quell-IP-Adresse, die Ziel-IP oder die Anwendung des verworfenen Datenverkehrs identifiziert wurden, führen Sie eine gefilterte Paketerfassung durch, die bei der Definition des verworfenen Datenverkehrs und der Anwendung der richtigen Behebung hilft.

Additional Information


Spezifische Anwendungsfälle finden Sie im folgenden Knowledgebase-Artikel:
Ein bestimmtes Ziel/Subnetz innerhalb von AWS kann nicht erreicht
werden Ein bestimmtes Ziel/Subnetz in Azure kann nicht erreicht

werden Weitere nützliche Artikel:
So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_fwd_notopology".
So überprüfen Sie globale Leistungsindikatoren auf eine bestimmte Quell- und Ziel-IP-Adresse.
So zeigen Sie die MAC-Adressen der Schnittstelle an.
MAC-Adresstabelle, die von Palo Alto gelernt
wurde: Was passiert, wenn eine Schnittstelle im Layer-2-Modus ein Paket mit unbekannter MAC-Adresse empfängt?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDeoCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language