Konfigurieren von symmetrischen Rückkehr
Symptom
Dieses Dokument zeigt eine einfache Konfiguration der Funktion "Symmetrische Rückgabe oder Rückkehr zum Absender"
Environment
- Palo Alto Firewall .
- Symmetrische Rückkehr
Resolution
Diese Funktion leitet das Paket an die MAC Adresse weiter, von der das SYN oder das verlorene Paket empfangen wurde.Dadurch wird sichergestellt, dass der Rückgabeverkehr der gleichen Schnittstelle folgt, die die Sitzung erstellt hat, und in einem asymmetrischen Routing oder Dual-Umgebungen nützlich ISP ist.
Beispiel: Topologie
Im obigen Diagramm kann der Datenverkehr vom Client 5.1.1.1 den internen Server 192.168.83.2 über zwei öffentliche IP-Server 1.1.1.83 und 2.1.1.83 erreichen. Beide öffentlichen IP-Dateien führen eine Zielübersetzung auf den internen Server durch.Wenn der Datenverkehr über ISP1 über ISP1 auf Ethernet 1/1 auf dem internen Server eintrifft, wird der Rücklaufverkehr über Ethernet 1/1 anstelle der Standardroute Etherenet 1/2 zurückgegeben, wie in Abbildung unten dargestellt.
NAT
- INCOMING_NAT- ISP-1 und 2 Regeln für die Übersetzung der öffentlichen Adresse auf den internen Server IP IP 192.168.83.2
- ISP1NAT und ISP2NAT sind für ausgehenden Datenverkehr bestimmt, wenn der Datenverkehr zum ISP1 bzw. ISP2 abläuft
Netzwerk
Routing
- Der firewall ist mit nur einer Standardroute konfiguriert, die über ISP2 ausgeführt wird.
PBF
- Die symmetrische Rückgabe basiert auf PBF .
- Erstellen Sie eine PBF Regel für eingehenden Datenverkehr in die firewall zum Senden des Rücklaufdatenverkehrs von der firewall an dieselbe eingehende Schnittstelle wie empfangen.
- Da symmetrische Rückkehr auf Schnittstellen basiert, wählen Sie die Quelle als Schnittstelle.
Hinweis:Zone ist keine gültige Konfiguration.Außerdem ist die Tunnelschnittstelle nicht gültig, da den Tunneln keine Mac-Adresse zugeordnet ist.
- Wählen Sie die IP Zieladresse als interne IP Adresse des Servers aus.
- Konfigurieren Sie die nächste IP Hostadresse, wenn das Zielnetzwerk nicht direkt verbunden ist.
- Ethernet 1/6 wird als Egress Schnittstelle ausgewählt, weil der interne Server auf dem gleichen Segment ist.
- Wenn sich der interne Server nicht auf demselben Server befindet, geben Sie den nächsten Hop an, der im Feld erreicht werden NEXT HOP soll.
- Wählen Sie die IP Adresse von ISP1 als nächsten Hop (1.1.1.84) aus.
- Stellen Sie sicher, dass die symmetrische Route zurück funktioniert, führen Sie die folgenden Befehle:
> Show Session ID 6149
Session 6149
c2s Flow:
Quelle: 5.1.1.1 [ DMZ ]
dst: 1.1.1.83
proto: 1
sport: 13812 dport: 3
state: INIT type: src FLOW
user: unknown
dst user: unknown
pbf rule: ISP1 - PBF 1
s2c Flow:
Quelle: 192.168.83.2 [L3-Trust]
dst: 5.1.1.1
proto: 1
sport: 3 dport: 13812
State: INIT type: src FLOW
user: unknown
dst user: unknown
pbf rule: ISP1- PBF 1
symmetrische Rückkehr mac: 00:1b:17:05:8c:10
Startzeit : Tue Jan 8 16:23:55 2013
Timeout : 6 sec total
byte count(c2s) : 98
total byte count(s2c) : 98
layer7 packet count(c 2s) : 1
layer7 packet count(s2c) : 1
vsys : vsys1
application : ping rule : all session to be logged at end : True
session in
session
ager : False session
synced from peer : False HA
address/port translation : source + destination
nat-rule : INCOMING_NAT- ISP-1 (vsys1)
layer7 processing : Aktivierte
URL Filterung aktiviert : FalseDer firewall entspricht der PBF erstellten Regel.
In der folgenden Ausgabe sehen Sie die Rückkehr Mac wo Datenverkehr gesendet wird.
> show pbf return-mac all
current pbf configuation version: 0
total return nexthop addresses : 8
index pbf id ver hw address ip address
return mac egress port
--------------------------------------------------------------------------------
7 1 2 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
2 1 0 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
6 1 1 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
8 1 2 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
5 1 1 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
9 1 3 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
1 1 0 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
10 1 3 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
maximum of ipv4 return mac entries supported : 500
total ipv4 return mac Einträge in Tabelle : 2
insgesamt ipv4 return mac Einträge angezeigt : 2
Status: s - statisch, c - komplett, e - abläuft, i - unvollständige
pbf-Regel-ID ip-Adresse hw-Adressportstatus ttl
--------------------------------------------------------------------------------
ISP1- PBF 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
ISP1- PBF 1 5.1.1.1 00:1b:17:05:8c:10 ethernet1/1 c 1 800
Sitzung über syn-cookies : False Session auf host beendet : False session
traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/1
egress interface : ethernet1/6
session QoS rule : / N A (class 4)