AWS Gateway Load Balancer (GWLB) 后面的 VM 系列防火墙不接收响应数据包

AWS Gateway Load Balancer (GWLB) 后面的 VM 系列防火墙不接收响应数据包

7579
Created On 01/09/23 13:37 PM - Last Modified 02/02/24 06:08 AM


Symptom


  1. 客户端的角度来看, 请求 (例如 ping 或 HTTP) 失败
  2. 服务器从不收到请求
  3. VM 系列防火墙数据包 捕获仅显示客户端 请求数据包(例如 ICMP 请求或 TCP SYN),而不显示服务器响应数据包(例如 ICMP 响应或 TCP SYN-ACK)。
  4. 接收级和发送级的源MAC地址和目标MAC地址相同,而传输级的MAC地址应该翻转。 这是因为数据包到达虚拟机系列防火墙接口(例如,ethernet1/1 的 MAC 地址作为目标),由防火墙检查,然后使用 Vwire 通过同一接口(例如,ethernet1/1 的 MAC 地址作为源)再次传输出去。
aws-gwlb-ping-rx-no-response.PNGaws-gwlb-ping-tx-no-response.PNG

 

Environment


  • 亚马逊网络服务 (AWS)
  • 通过 Transit Gateway 连接到安全 VPC 的使用者 VPC
  • 安全 VPC 在网关负载均衡器 (GWLB) 后面的不同可用区 (AZ) 中包含多个虚拟机系列防火墙
  • 安全 VPC 中的每个可用区都包含一个网关负载均衡器终端节点 (GWLBE)
  • 启用了覆盖网络路由的 VM 系列防火墙(PAN-OS 版本 10.1.6-10.1.6-h3 和 10.2.1-10.2.2)

Cause


PAN-194776 - 使用不正确的源/目标 MAC 地址重新封装区域内数据包。

Resolution


  1. PAN-194776 已在 PAN-OS 10.1.7 和 10.2.3 中修复
  2. 升级到固定代码将解决该问题。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kG89CAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language