ポリシーテスト結果が実施する度に変わります(Palo Alto Networks次世代ファイアウォールをご利用の場合)
テスト対象機器(ファイアウォールなど)の動作により、テストが不安定になる事象を確認しています。
「Palo Alto Networks 次世代ファイアウォール」で本事象が発生することを確認しております。
以下に詳細を記載します。
NEEDLEWORKの仕様について
動作の詳細を記載する前にNEEDLEWORKの仕様についてご説明します。
NEEDLEWORKは機器本体にIPアドレスを設定せずにテストが実施可能な仕様になっています。
NEEDLEWORKはIPアドレスを保持しないため、以下の手順でテストを実施します。
① NEEDLEWORKの全インターフェースからARPリクエストを行います
※テストシナリオ「FW IP」項目記載のIPアドレスのARP解決を実施
② ARPリプライを最初に返した(NEEDLEWORKが受信した)インターフェースにパケットを送信します
NEEDLEWORKはセグメント情報を保持しないため、シナリオに記載したFW IPの第4オクテットの値を±1したIPアドレスを送信元としてARPリクエストを行います例:シナリオのFW IPが「10.10.10.10」の場合、「10.10.10.9」と「10.10.10.11」を送信元IPアドレスとしてARPリクエストを行います。
詳細は下記資料をご参照ください。
https://storage.googleapis.com/serve.needlework.jp/ARPrequest_specification.pdf
動作イメージ(問題が発生しないケース)
ARPリクエスト対象のIPアドレスを保持しているインターフェースからのみARPリプライがあれば本問題は発生しません。
※多くのネットワーク機器は本動作になるかと思います
動作イメージ(問題が発生するケース)
ARPリクエスト対象のIPアドレスを保持していないインターフェースからARPリプライがある場合に問題が発生します。
※本動作を行った機器・OSバージョンが過去にございました
上記図の場合、NEEDLEWORKが「192.168.1.254」を保持するインターフェースより先に「10.0.0.254/24」を保持するインターフェース側からARPリプライを受信しますと、NEEDLEWORKは本来送信するべきインターフェースと異なるインタフェースからパケットを送信してしまうため、通信が正常に行えずに結果がdropになります。
※ARP応答をはじめに受け取ったインターフェースによってテスト結果が変わるため、テスト実行のたびに結果が変わることがあります
対処方法
以下の方法でご対応をお願いします。
テストシナリオCSVの およびに、対象セグメントと接続されているNEEDLEWORKのインターフェース番号を指定してください。
NEEDLEWORK評価機は指定したインターフェースからパケットを送信します。
インターフェース番号の確認方法は下記ページをご参照ください。
NEEDLEWORKのテストインターフェース番号を確認したい2024/2/8 10:362024/2/8 10:36次の例では送信側インターフェースを1に、 宛先側インターフェースを0に指定しています。
例
192.168.1.254が送信元FW-IPだった場合、にを指定します。
