如何缓解“flow_policy_nofwd”全局计数器的异常增加

• 缓解全局计数器的异常增加flow_policy_nofwd。 

  > show counter global filter delta yes
  flow_policy_nofwd x y drop flow session Session setup: no destination zone from forwarding

• 当防火墙无法找到会话设置或转发期间的出口接口时，此计数器通常会递增。 此计数器将增加的一些条件如下（对于原始 IP 或 NAT'd IP）：

  • 数据包与 PBF 规则匹配，下一跳作为丢弃。
  • 未找到目标 IP 的路由。
  • 丢弃为目标 IP 找到的路由。
  • 出口接口无效。
  • Ingress接口类型不在Tap、vwire、Layer2和Layer3之间。
  • IPv6 组播数据包太大（在这种情况下，另一个计数器 flow_ip6_mcast_pbf_drop也会递增）。
  • 对于版本 9.1 及更高版本，SD-WAN 成员接口不可用（在这种情况下，另一个计数 器flow_sdwan_no_if_qualified也会递增）。
  • 在 L2 域中，目标 MAC 查找失败，即在 MAC 查找表中找不到 DMAC。

• 下一代防火墙
• 支持的 PAN-OS
• 路由表
• flow_policy_nofwd全局计数器

1. 检查接口的配置，并确保它们配置了正确的类型，并且是正确转发实体的一部分：例如，对于第 3 层接口，请确保它是正确虚拟 路由器的一部分，对于虚拟线路接口，请确保它是正确虚拟 线路的一部分。
2. 查看基于策略的转发 PBF 规则，并确保它们已正确定义。 在 UI 中导航到 POLICIES > Policy Based Forwarding 。 查找任何具有放弃操作的 PBF 规则，并确保其有效性。
3. 查看网络和防火墙的路由配置：
   1. 要检查路由表，请使用 CLI 命令：

      show routing route

      确保正确配置了路由，以便数据包到达其目的地。 在路由表中添加或更正任何缺失或不正确的路由。
   2. 要检查转发表，请使用 CLI 命令：

      show routing fib
      

      确保更新和审查路由协议，以防止任何配置错误。
4. 在第 2 层域中，使用 CLI 命令检查 MAC 地址表：

   show mac all

   并检查是否有任何条目缺失或不正确。
5. 检查流量日志并搜索防火墙正在丢弃的流量。 在 UI 中导航到 MONITOR > Traffic。
   1. 确定配置错误的安全策略是否正在丢弃数据包。调整安全策略，确保区域之间的流量正常流动。
   2. 如果防火墙通过隧道发送数据包，请确保防火墙上 的目标接口与隧道接口位于同一虚拟路由器中。
6. 一旦确定了丢弃流量的源 IP、目标 IP 或应用程序，就执行过滤数据包捕获，这将有助于定义丢弃的流量并应用适当的补救措施。

有关特定用例，请参阅以下知识库文章：
无法访问 AWS 中的特定目标/子网
无法访问 Azure 中的特定目标/子网

其他有用的文章：
如何缓解“flow_fwd_notopology”全局计数器的异常增加。
如何检查特定源和目标 IP 地址的全局计数器。
如何显示接口MAC地址。
Palo Alto 学习的 MAC 地址表
如果第 2 层模式下的接口收到 MAC 地址未知的数据包，会发生什么情况？