[SOLUTION] NSX DFW & paquets droppées sur firewall autre

[SOLUTION] NSX DFW & paquets droppées sur firewall Checkpoint
Bonjour à toutes et à tous,

J'utilise SDDC 2020.

Nous avons rencontré des problématiques de paquets droppées visible sur VROPS sur nos firewalls qui sont différents de NSX.



Cela se traduisait par des coupures applicatives et provoqué des incidents de production.
Après plusieurs mois d'investigation nous avons finalement trouvé la solution : Mettre nos firewalls en question dans la liste d'exclusion du NSX Distributed firewall.

Nous n'utilisons pas la fonctionnalité de firewall distribué donc la règle par défaut était en allow any.
Cependant la charge de traffic générer tout de même des drops au niveau de l'interface réseau de nos firewalls.

Pour ajouter une machine dans la liste d'exclusion il faut aller dans "Network & Security" => "Firewall Settings" => "Exclusion List" et cliquer sur ADD :



Voilà j'ai passé beaucoup de temps pour trouver la root cause de notre soucis et j'espère pouvoir aider si vous êtes dans un cas similaire.

Pour résumé cette solution s'adresse à vous si vous avez un environnement avec du NSX-v et un ou plusieurs firewalls d'une autre technologie (Forti, Palo Alto...) et que vous observez/subissez des coupures au niveau de ce firewall de type palo forti.

/!\ Cela n'exclut pas un problème de configuration, de design ou un bug sur vos firewalls. De notre côté nous avions fait le tour de tous ces sujets sans résultat.
Malgrés tout, cette solution est rapide à mettre en place et sans impact si vous n'utilisez pas la fonction DFW.

Bonne journée.