「flow_policy_nofwd」グローバルカウンターの異常な増加を軽減する方法

「flow_policy_nofwd」グローバルカウンターの異常な増加を軽減する方法

6235
Created On 07/18/24 15:36 PM - Last Modified 04/17/25 19:07 PM


Objective


  • グローバル カウンターの異常な増加を軽減するためflow_policy_nofwd。  
    > show counter global filter delta yes
flow_policy_nofwd x y drop flow session Session setup: no destination zone from forwarding

  • このカウンタは、通常、ファイアウォールがセッション設定時または転送中に出力インターフェイスを見つけられない場合に増加します。 このカウンタが増加する条件には、次のようなものがあります(元のIPまたはNATされたIPの場合)。

    • パケットは、ネクスト ホップが破棄された PBF ルールと一致しました。
    • 宛先IPのルートが見つかりませんでした。
    • 宛先 IP に対して見つかった破棄ルート。
    • 出力インターフェイスが無効です。
    • 入力インターフェイス タイプが Tap、vwire、Layer2、または Layer3 に含まれていない。
    • IPv6 マルチキャスト パケットが大きすぎます (この場合、別のカウンタ flow_ip6_mcast_pbf_dropも増加します)。
    • バージョン 9.1 以降では、SD-WAN メンバーインターフェイスは使用できません(その場合、別のカウンタ flow_sdwan_no_if_qualifiedも増加します)。
    • L2ドメインで、宛先MACルックアップが失敗した、つまり、DMACがMACルックアップテーブルに見つかりません。

Environment


  • 次世代ファイアウォール
  • サポートされている PAN-OS
  • ルーティングテーブル
  • flow_policy_nofwdグローバルカウンター

Procedure


  1. インターフェイスの設定を確認し、正しいタイプで設定され、正しい転送エンティティの一部であることを確認します(たとえば、Layer3 インターフェイスの場合は正しい Virtual Router の一部であり、Virtual Wire インターフェイスの場合は正しい Virtual Wire の一部であることを確認します)。
  2. ポリシーベース転送 PBF ルールを確認し、正しく定義されていることを確認します。 UI で [ポリシー] > [ポリシーに基づく転送] に移動します。 破棄アクションのある PBF ルールを探し、その有効性を確認します。
  3. ネットワークとファイアウォールのルーティング設定を確認します。
    1. ルーティングテーブルを確認するには、CLI コマンドを使用します。 
      show routing route
      パケットが宛先に到達するようにルートが適切に設定されていることを確認します。 ルーティング テーブルで欠落しているルートや正しくないルートを追加または修正します。
    2. 転送テーブルを確認するには、CLI コマンドを使用します。 
      show routing fib
      ルーティングプロトコルが更新され、確認されていることを確認して、設定ミスを防ぎます。
  4. レイヤー 2 ドメインでは、CLI コマンドを使用して MAC アドレス テーブルを検査します。 
    show mac all
    また、エントリが欠落しているか、正しくないかを確認します。
  5. トラフィック ログを確認し、ファイアウォールによってドロップされているトラフィックを検索します。 UI で [MONITOR > Traffic] に移動します。
    1. 誤って設定されたセキュリティ ポリシーがパケットをドロップしているかどうかを確認します。セキュリティ ポリシーを調整して、ゾーン間のトラフィック フローが適切になるようにします。
    2. ファイアウォールがトンネル経由でパケットを送信している場合は、ファイアウォールの 宛先インターフェイスがトンネル インターフェイスと同じ仮想ルーターに配置されていることを確認します。
  6. ドロップされたトラフィックの送信元 IP、宛先 IP、またはアプリケーションが特定されたら、フィルタリングされたパケット キャプチャを実行して、ドロップされたトラフィックを定義し、適切な修復を適用するのに役立ちます。

Additional Information


特定の使用例については、以下のナレッジベース記事を参照してください:
AWS内の特定の宛先/サブネットに到達できない
Azure内の特定の宛先/サブネットに到達できない

その他の有用な記事:
「flow_fwd_notopology」グローバルカウンターの異常な増加を軽減する方法。
特定の送信元と宛先の IP アドレスのグローバル カウンターを確認する方法。
インターフェイスのMACアドレスを表示する方法。
パロアルトが学習したMACアドレステーブル
レイヤ2モードのインターフェイスが不明なMACアドレスのパケットを受信するとどうなりますか?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDeoCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language