AWS Gateway Load Balancer (GWLB) の背後にある VM シリーズ ファイアウォールが応答パケットを受信しない

AWS Gateway Load Balancer (GWLB) の背後にある VM シリーズ ファイアウォールが応答パケットを受信しない

6484
Created On 01/09/23 13:37 PM - Last Modified 02/02/24 06:04 AM


Symptom


  1. クライアントの観点からは、要求 (ping や HTTP など) は失敗します
  2. サーバーは要求を受信しません
  3. VM シリーズ ファイアウォール パケット キャプチャでは、クライアント要求パケット (ICMP 要求や TCP SYN など) のみが表示され 、サーバー応答パケット (ICMP 応答や TCP SYN-ACK など) は表示されません。
  4. 送信元と宛先のMACアドレスは、受信ステージと送信ステージの両方で同じですが、送信ステージでは反転する必要があります。 これは、パケットがvmシリーズのファイアウォールインターフェイス(宛先としてのethernet1/1のMACアドレスなど)に到着し、ファイアウォールによって検査された後、Vwireを使用して同じインターフェイス(たとえば、ethernet1/1のMACアドレス)を介して再度送信されるためです。
aws-gwlb-ping-rx-no-response.PNGaws-gwlb-ping-tx-no-response.PNG

 

Environment


  • アマゾンウェブサービス (AWS)
  • トランジットゲートウェイ経由でセキュリティ VPC に接続されたコンシューマー VPC
  • セキュリティ VPC には、Gateway Load Balancer (GWLB) の背後にある異なるアベイラビリティーゾーン (AZ) に複数の VM シリーズファイアウォールが含まれています
  • セキュリティ VPC の各アベイラビリティーゾーンには、Gateway Load Balancer エンドポイント (GWLBE) が含まれています
  • オーバーレイ ルーティングが有効になっている VM シリーズ ファイアウォール(PAN-OS バージョン 10.1.6-10.1.6-h3 および 10.2.1-10.2.2)

Cause


PAN-194776 - ゾーン内パケットが誤った送信元/宛先 MAC アドレスで再カプセル化されました。

Resolution


  1. PAN-194776 は、PAN-OS 10.1.7 および 10.2.3 で修正されています。
  2. 修正されたコードにアップグレードすると、問題が解決します。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kG89CAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language