Konfigurieren von symmetrischen Rückkehr

Konfigurieren von symmetrischen Rückkehr

154580
Created On 09/25/18 17:19 PM - Last Modified 09/01/23 08:24 AM


Symptom


Dieses Dokument zeigt eine einfache Konfiguration der Funktion "Symmetrische Rückgabe oder Rückkehr zum Absender"

Environment


  • Palo Alto Firewall .
  • Symmetrische Rückkehr

Resolution


Diese Funktion leitet das Paket an die MAC Adresse weiter, von der das SYN oder das verlorene Paket empfangen wurde.Dadurch wird sichergestellt, dass der Rückgabeverkehr der gleichen Schnittstelle folgt, die die Sitzung erstellt hat, und in einem asymmetrischen Routing oder Dual-Umgebungen nützlich ISP ist.

Beispiel: Topologie

SS1.png

Im obigen Diagramm kann der Datenverkehr vom Client 5.1.1.1 den internen Server 192.168.83.2 über zwei öffentliche IP-Server 1.1.1.83 und 2.1.1.83 erreichen.  Beide öffentlichen IP-Dateien führen eine Zielübersetzung auf den internen Server durch.Wenn der Datenverkehr über ISP1 über ISP1 auf Ethernet 1/1 auf dem internen Server eintrifft, wird der Rücklaufverkehr über Ethernet 1/1 anstelle der Standardroute Etherenet 1/2 zurückgegeben, wie in Abbildung unten dargestellt.

 

SS2.png

NAT

SS3.png

  • INCOMING_NAT- ISP-1 und 2 Regeln für die Übersetzung der öffentlichen Adresse auf den internen Server IP IP 192.168.83.2
  • ISP1NAT und ISP2NAT sind für ausgehenden Datenverkehr bestimmt, wenn der Datenverkehr zum ISP1 bzw. ISP2 abläuft


Netzwerk

SS4.png

 

Routing

SS5.png

  • Der firewall ist mit nur einer Standardroute konfiguriert, die über ISP2 ausgeführt wird.

 

PBF

  • Die symmetrische Rückgabe basiert auf PBF .
  • Erstellen Sie eine PBF Regel für eingehenden Datenverkehr in die firewall zum Senden des Rücklaufdatenverkehrs von der firewall an dieselbe eingehende Schnittstelle wie empfangen.

SS6.png

  • Da symmetrische Rückkehr auf Schnittstellen basiert, wählen Sie die Quelle als Schnittstelle.

Hinweis:Zone ist keine gültige Konfiguration.Außerdem ist die Tunnelschnittstelle nicht gültig, da den Tunneln keine Mac-Adresse zugeordnet ist.

SS7.png

  • Wählen Sie die IP Zieladresse als interne IP Adresse des Servers aus.
  • Konfigurieren Sie die nächste IP Hostadresse, wenn das Zielnetzwerk nicht direkt verbunden ist.

SS8.png

  • Ethernet 1/6 wird als Egress Schnittstelle ausgewählt, weil der interne Server auf dem gleichen Segment ist.
  • Wenn sich der interne Server nicht auf demselben Server befindet, geben Sie den nächsten Hop an, der im Feld erreicht werden NEXT HOP soll.
  • Wählen Sie die IP Adresse von ISP1 als nächsten Hop (1.1.1.84) aus.
  • Stellen Sie sicher, dass die symmetrische Route zurück funktioniert, führen Sie die folgenden Befehle:

    > Show Session ID 6149
    Session 6149
    c2s Flow:
    Quelle: 5.1.1.1 [ DMZ ]
    dst: 1.1.1.83
    proto: 1
    sport: 13812 dport: 3
    state: INIT type: src FLOW
    user: unknown
    dst user: unknown
    pbf rule: ISP1 - PBF 1

    s2c Flow:
    Quelle: 192.168.83.2 [L3-Trust]
    dst: 5.1.1.1
    proto: 1
    sport: 3 dport: 13812
    State: INIT type: src FLOW
    user: unknown
    dst user: unknown
    pbf rule: ISP1- PBF 1
    symmetrische Rückkehr mac: 00:1b:17:05:8c:10

    Startzeit : Tue Jan 8 16:23:55 2013
    Timeout : 6 sec total
    byte count(c2s) : 98
    total byte count(s2c) : 98
    layer7 packet count(c 2s) : 1
    layer7 packet count(s2c) : 1
    vsys : vsys1
    application : ping rule : all session to be logged at end : True
    session in
    session
    ager : False session
    synced from peer : False HA
    address/port translation : source + destination
    nat-rule : INCOMING_NAT- ISP-1 (vsys1)
    layer7 processing             : Aktivierte
    URL Filterung aktiviert : False        

    Der firewall entspricht der PBF erstellten Regel.

    In der folgenden Ausgabe sehen Sie die Rückkehr Mac wo Datenverkehr gesendet wird.

    > show pbf return-mac all
    current pbf configuation version:   0
    total return nexthop addresses :    8

    index   pbf id  ver  hw address          ip address
    return mac          egress port
    --------------------------------------------------------------------------------
    7       1       2    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    2       1       0    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    6       1       1    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    8       1       2    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    5       1       1    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    9       1       3    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    1       1       0    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    10      1       3    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1

    maximum of ipv4 return mac entries supported : 500
    total ipv4 return mac Einträge in Tabelle : 2
    insgesamt ipv4 return mac Einträge angezeigt : 2
    Status: s - statisch, c - komplett, e - abläuft, i - unvollständige

    pbf-Regel-ID ip-Adresse hw-Adressportstatus ttl
    --------------------------------------------------------------------------------
    ISP1- PBF 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
    ISP1- PBF 1 5.1.1.1 00:1b:17:05:8c:10 ethernet1/1 c 1 800

    Sitzung über syn-cookies : False Session auf host beendet : False session

    traverses tunnel : False
    captive portal session : False
    ingress interface : ethernet1/1
    egress interface : ethernet1/6
    session QoS rule : / N A (class 4)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClF5CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language