Comment atténuer une augmentation anormale du compteur global de « flow_policy_nofwd »

Comment atténuer une augmentation anormale du compteur global de « flow_policy_nofwd »

6397
Created On 07/18/24 15:36 PM - Last Modified 04/17/25 19:07 PM


Objective


  • Pour pallier une augmentation anormale de flow_policy_nofwd compteur global. 
    > show counter global filter delta yes
flow_policy_nofwd x y drop flow session Session setup: no destination zone from forwarding

  • Ce compteur s’incrémente généralement lorsque le pare-feu n’est pas en mesure de trouver l’interface de sortie pour la configuration d’une session ou lors du transfert. Certaines des conditions dans lesquelles ce compteur obtiendrait un incrément sont les suivantes (soit pour l'IP d'origine, soit pour l'IP NAT'd) :

    • Le paquet correspondait à une règle PBF avec le saut suivant comme discard.
    • Aucune route n’a été trouvée pour l’adresse IP de destination.
    • Ignorer la route trouvée pour l’adresse IP de destination.
    • L’interface de sortie n’est pas valide.
    • Le type d’interface d’entrée n’est pas Tap, vwire, Layer2 ou Layer3.
    • Le paquet de multidiffusion IPv6 est trop volumineux (dans ce cas, un autre compteur flow_ip6_mcast_pbf_drop augmenterait également).
    • Pour les versions 9.1 et ultérieures, l’interface membre SD-WAN n’est pas disponible (auquel cas, une autre flow_sdwan_no_if_qualified compteur sera également incrémentée).
    • Dans un domaine L2, la recherche MAC de destination a échoué, c’est-à-dire que DMAC est introuvable dans la table de recherche MAC.

Environment


  • Pare-feu nouvelle génération
  • PAN-OS pris en charge
  • Table de routage
  • flow_policy_nofwd compteur mondial

Procedure


  1. Vérifiez la configuration des interfaces et assurez-vous qu’elles sont configurées avec le type correct et qu’elles font partie de l’entité de transfert correcte : Par exemple, pour une interface de couche 3, assurez-vous qu’elle fait partie du routeur virtuel approprié, pour l’interface de fil virtuel, assurez-vous qu’elle fait partie du fil virtuel approprié.
  2. Passez en revue les règles PBF de Policy Based Forwarding et assurez-vous qu’elles sont correctement définies. Accédez à POLICIES > Transfert basé sur des stratégies dans l’interface utilisateur. Recherchez toutes les règles PBF avec une action de défausse et assurez-vous de leur validité.
  3. Vérifiez la configuration du routage du réseau et du pare-feu :
    1. Pour vérifier la table de routage, utilisez la commande CLI : 
      show routing route
      Assurez-vous que les itinéraires sont correctement configurés pour que les paquets atteignent leurs destinations. Ajoutez ou corrigez les itinéraires manquants ou incorrects dans la table de routage.
    2. Pour vérifier la table de transfert, utilisez la commande CLI : 
      show routing fib
      Assurez-vous que les protocoles de routage sont mis à jour et examinés pour éviter toute erreur de configuration.
  4. Dans un domaine de couche 2, inspectez la table d’adresses MAC à l’aide de la commande CLI : 
    show mac all
    et vérifiez si une entrée est manquante ou incorrecte.
  5. Consultez les journaux de trafic et recherchez le trafic abandonné par le pare-feu. Accédez à SURVEILLER > trafic dans l’interface utilisateur.
    1. Identifiez si une stratégie de sécurité mal configurée supprime le paquet.Ajustez les politiques de sécurité pour assurer une bonne circulation entre les zones.
    2. Si le pare-feu envoie un paquet via un tunnel, assurez-vous que l’interface de destination sur le pare-feu est placée dans le même routeur virtuel que l’interface du tunnel.
  6. Une fois que l’adresse IP source, l’adresse IP de destination ou l’application du trafic abandonné sont identifiées, effectuez une capture de paquets filtrée qui permet de définir le trafic abandonné et d’appliquer la correction appropriée.

Additional Information


Reportez-vous à l’article de la base de connaissances ci-dessous pour des cas d’utilisation spécifiques :
Impossible d’atteindre une destination/un sous-réseau spécifique dans AWS
Impossible d’atteindre une destination/un sous-réseau spécifique dans Azure

Autres articles utiles :
Comment atténuer une augmentation anormale du compteur global « flow_fwd_notopology ».
Comment vérifier les compteurs globaux pour une adresse IP source et de destination spécifique.
Comment afficher les adresses MAC de l’interface.
Table d’adresses MAC apprise par Palo Alto
Que se passe-t-il si une interface en mode de couche 2 reçoit un paquet avec une adresse MAC inconnue ?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDeoCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language