Cómo mitigar un aumento anormal en el contador global "flow_policy_nofwd"

Cómo mitigar un aumento anormal en el contador global "flow_policy_nofwd"

6243
Created On 07/18/24 15:36 PM - Last Modified 04/17/25 19:07 PM


Objective


  • Para mitigar un aumento anormal en flow_policy_nofwd contador global. 
    > show counter global filter delta yes
flow_policy_nofwd x y drop flow session Session setup: no destination zone from forwarding

  • Este contador generalmente se incrementa cuando el firewall no puede encontrar la interfaz de salida para una configuración de sesión o durante el reenvío. Algunas de las condiciones en las que este contador obtendría un incremento son las siguientes (ya sea para la IP original o para la IP NAT'd):

    • El paquete coincidió con una regla PBF con el salto siguiente como descarte.
    • No se ha encontrado ninguna ruta para la IP de destino.
    • Descarte la ruta encontrada para la IP de destino.
    • La interfaz de salida no es válida.
    • El tipo de interfaz de entrada no se encuentra entre Tap, vwire, Layer2 o Layer3.
    • El paquete de multidifusión IPv6 es demasiado grande (en este caso, también se incrementaría otro flow_ip6_mcast_pbf_drop de contador).
    • Para las versiones 9.1 y posteriores, la interfaz miembro de SD-WAN no está disponible (en cuyo caso, también se incrementará otro flow_sdwan_no_if_qualified de contador).
    • En un dominio L2, la búsqueda de MAC de destino falló, es decir, DMAC no se encontró en la tabla de búsqueda de MAC.

Environment


  • Firewall de próxima generación
  • PAN-OS compatible
  • tabla de enrutamiento
  • flow_policy_nofwd contador global

Procedure


  1. Revise la configuración de las interfaces y asegúrese de que estén configuradas con el tipo correcto y que formen parte de la entidad de reenvío correcta: Por ejemplo, para una interfaz de capa 3, asegúrese de que sea parte del enrutador virtual correcto, para la interfaz de conexión virtual, asegúrese de que sea parte de la conexión virtual correcta.
  2. Revise las reglas PBF de reenvío basado en políticas y asegúrese de que estén definidas correctamente. Vaya a POLICIES > Policy Based Forwarding en la interfaz de usuario. Busque cualquier regla PBF con una acción de descarte y asegúrese de su validez.
  3. Revise la configuración de enrutamiento de la red y el firewall:
    1. Para comprobar la tabla de ruteo, utilice el comando CLI: 
      show routing route
      Asegúrese de que las rutas estén configuradas correctamente para que los paquetes lleguen a sus destinos. Agregue o corrija las rutas faltantes o incorrectas en la tabla de enrutamiento.
    2. Para comprobar la tabla de reenvío, utilice el comando CLI: 
      show routing fib
      Asegúrese de que los protocolos de enrutamiento estén actualizados y revisados para evitar errores de configuración.
  4. En un dominio de capa 2, inspeccione la tabla de direcciones MAC mediante el comando CLI: 
    show mac all
    y compruebe si falta alguna entrada o es incorrecta.
  5. Compruebe los registros de tráfico y busque el tráfico que está descartando el firewall. Vaya a SUPERVISAR > tráfico en la interfaz de usuario.
    1. Identifique si una política de seguridad mal configurada está descartando el paquete.Ajuste las políticas de seguridad para garantizar un flujo de tráfico adecuado entre zonas.
    2. Si el firewall envía un paquete a través de un túnel, asegúrese de que la interfaz de destino en el firewall esté ubicada en el mismo enrutador virtual que la interfaz del túnel.
  6. Una vez identificada la IP de origen, la IP de destino o la aplicación del tráfico descartado, realice una captura de paquetes filtrada que ayudará a definir el tráfico descartado y aplicar la corrección adecuada.

Additional Information


Consulte el siguiente artículo de la base de conocimientos para conocer los casos de uso específicos:
No se puede llegar a un destino/subred específico dentro de AWS
No se puede llegar a un destino/subred específico dentro de Azure

Otros artículos útiles:
Cómo mitigar un aumento anormal en el contador global "flow_fwd_notopology".
Cómo comprobar los contadores globales de una dirección IP de origen y destino específica.
Cómo mostrar las direcciones MAC de la interfaz.
Tabla de direcciones MAC aprendida por Palo Alto
¿Qué sucede si una interfaz en modo de capa 2 recibe un paquete con una dirección MAC desconocida?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDeoCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language