Consideraciones sobre la ruta de servicio en firewalls alojados en la nube pública configurados en Activo / Pasivo HA.

Consideraciones sobre la ruta de servicio en firewalls alojados en la nube pública configurados en Activo / Pasivo HA.

9029
Created On 03/16/23 18:49 PM - Last Modified 06/07/23 19:50 PM


Symptom


 
  • Las IP flotantes no se moverán entre sus firewalls alojados en la nube pública.
  • A La ruta de servicio está configurada para DNS el tráfico de la interfaz de administración, y esta ruta en algún momento utiliza, o se traduce a, una de las IP flotantes mencionadas anteriormente.

Environment


 
  • Los firewalls alojados en una plataforma de nube pública están configurados para estar en Activo / Pasivo HA y para, a través del complemento de VM-la serie (Palo Alto Networks, Inc., 2023), mueva las IP flotantes en caso de conmutación por error.
  • Los firewalls tienen una ruta de servicio que hace que el en cuestión utilice una interfaz de plano de datos (muy probablemente la interfaz de confianza, interna o privada) para obtener DNS tráfico para el Firewall plano de administración.
  • PAN-OS está configurado para utilizar una de las IP flotantes mencionadas anteriormente para dicha ruta estática, de una de dos maneras:
    • DNS tráfico procedente de una interfaz que se va a enrutar directamente al DNS, o
    • DNS tráfico procedente de una interfaz que se traducirá a través de un SNAT Policy (Palo Alto Networks, Inc., 2023) y luego enrutado al DNS con la dirección de origen cambiada a flotante IP.

Cause


 
  • En el caso de una conmutación por error, el complemento Series en el VM-que se va a activar llama a la plataforma en API la nube para separar la configuración secundaria IP del par actualmente activo y adjuntarla al par que va Firewall a ser activo antes de que pase al estado activo (Palo Alto Networks, Inc., 2023).
  • Para ello, el to-be-Active Firewall primero solicita que se DNS resuelva el IP para dicho API; no se utilizarán entradas almacenadas en caché.
  • La ruta de servicio configurada enrutará el tráfico (ya sea directamente o a través de un ) a un SNAT Policyflotante , pero esto fallará porque el que va a ser activo Firewall no tiene el flotante IPIP conectado a él, en primer lugar.


Resolution


 
  • No use rutas de servicio para , ni para DNSninguna otra cosa que pueda obstaculizar el flujo de tráfico de administración a las API del proveedor de la nube.
  • Si se debe usar absolutamente una ruta de servicio, configúrela de modo que el tráfico de administración a las API del proveedor de la nube no se enrute a través de un archivo .IP

Additional Information


 

Referencias

Palo Alto Networks, Inc. (2023, 02 13). Fuente NAT. TechDocs de Palo Alto Networks. https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/networking/nat/source-nat-and-destination-nat/source-nat

Palo Alto Networks, Inc. (2023, 02 15). Configure Activo/Pasivo HA en Azure. TechDocs de Palo Alto Networks. https://docs.paloaltonetworks.com/vm-series/11-0/vm-series-deployment/set-up-the-vm-series-firewall-on-azure/configure-activepassive-ha-for-vm-series-firewall-on-azure

Palo Alto Networks, Inc. (2023, 03 13). VM-Serie Plugin y Panorama Plugins. TechDocs de Palo Alto Networks. https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin/panorama-plugins/plugins-types
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sb5fCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language