Azure Health Probes échoue lors de l’utilisation d’équilibreurs de charge internes et externes pour sonder via deux interfaces de plan de données distinctes à l’aide de la même source IP

• Équilibreurs de charge Azure externes et internes sondant à partir de la même source IP
• Toutes les versions de panos
• PA-VM Plate-forme
• 1 routeur virtuel

• Le problème est que les sondes de vérification de l’état des équilibreurs de charge proviennent de la même IP adresse
• Si vous avez un équilibreur de charge pour le trafic entrant et l’autre pour le trafic sortant et que les deux sondent via deux interfaces différentes sur le (exemple: interface entrante etherent1/2 et interface sortante ethernet1/1) et proviennent de la même IP, les requêtes arp échoueront sur le firewall firewall
• Pour confirmer que les sondes de vérification de l’état de l’équilibreur de charge échouent en raison d’arp, vous pouvez configurer les filtres de capture de paquets à l’aide de l’analyse des équilibreurs de charge et exécuter IP la commande suivante à partir de CLI.Il devrait montrer des baisses dues à « pas d’arp » comme indiqué ci-dessous

> show counter global filter delta yes packet-filter yes | match drop
flow_fwd_l3_noarp      2     0 drop    flow    forward   Packets dropped: no ARP

• Arp requests will fail as the firewall cannot have the same arp entry for the same source IP on two different interfaces under the same Virtual Router

• Pour résoudre ce problème, vous pouvez créer deux routeurs virtuels avec une interface entrante attachée à un routeur virtuel et une interface sortante attachée à l’autre
• Cela permettrait à chaque routeur virtuel d’obtenir la même adresse source IP sans entrer en conflit les uns avec les autres.
• Assurez-vous qu’un itinéraire est ajouté à l’adresse de sondage IP sur chaque routeur virtuel pointant vers leurs interfaces respectives