Cómo configurar retorno simétrico

Cómo configurar retorno simétrico

154578
Created On 09/25/18 17:19 PM - Last Modified 09/01/23 08:24 AM


Symptom


Este documento muestra una configuración simple de la función Retorno simétrico o Retorno al remitente

Environment


  • Palo Alto Firewall .
  • Retorno simétrico

Resolution


Esta característica reenvía el paquete a la MAC dirección desde donde se recibió el paquete o SYN perdido.Esto garantiza que el tráfico de retorno siga la misma interfaz que la sesión creó y es útil en un ruteo asimétrico o ISP en entornos duales.

Ejemplo: Topología

SS1.png

En el diagrama antedicho, el tráfico del cliente 5.1.1.1 puede alcanzar el servidor interno 192.168.83.2 vía dos IP públicas 1.1.1.83 y 2.1.1.83.  Ambas direcciones IP públicas hacen una traducción de destino al servidor interno.Si el tráfico llega al servidor interno vía el ISP1 en los Ethernetes 1/1, después el tráfico de retorno se devuelve vía los Ethernetes 1/1 en vez de la ruta predeterminada Etherenet 1/2 tal y como se muestra en del diagrama abajo.

 

SS2.png

NAT

SS3.png

  • INCOMING_NAT- ISP-1 y 2 reglas son para traducir la IP megafonía al servidor interno IP 192.168.83.2
  • ISP1NAT e ISP2NAT son para el tráfico saliente cuando el tráfico está saliendo al ISP1 e ISP2 respectivamente


Red

SS4.png

 

Enrutamiento

SS5.png

  • El firewall se configura con solamente una ruta predeterminada pasando a través del ISP2.

 

PBF

  • El retorno simétrico se basa en PBF .
  • Cree una PBF regla para el tráfico entrante en el para enviar el tráfico de retorno de la misma interfaz firewall de entrada que firewall recibió.

SS6.png

  • Porque regreso simétrico se basa en interfaces, seleccione el tipo de fuente como interfaz.

Nota:La zona no es una configuración válida.También, la interfaz del túnel no es válida puesto que no hay ninguna dirección mac asociada con los túneles.

SS7.png

  • Seleccione la dirección de destino IP como dirección interna del IP servidor.
  • Configure la siguiente dirección host IP si la red de destino no está conectada directamente.

ss8.png

  • Ethernet 1/6 es seleccionado como el interfaz de salida porque el servidor interno es en el mismo segmento.
  • Si el servidor interno no está en el mismo servidor, especifique el siguiente salto para llegar en NEXT HOP el campo.
  • Seleccione la IP dirección del ISP1 como salto siguiente (1.1.1.84).
  • Verificar que la ruta simétrica retorno funciona, ejecute los siguientes comandos:

    > mostrar id de sesión 6149
    Sesión 6149
    c2s flujo:
    fuente: 5.1.1.1 [ DMZ ]
    dst: 1.1.1.83
    proto: 1
    deporte: 13812 dport: 3
    estado: INIT tipo: FLOW
    src usuario: usuario desconocido
    dst:
    regla pbf desconocida: ISP1- PBF 1 flujo

    s2c:
    fuente: 192.168.83.2 [L3-Trust]
    dst: 5.1.1.1
    proto: 1
    deporte: 3 dport: 13812
    estado: INIT tipo: FLOW
    src usuario: usuario desconocido
    dst:
    regla pbf desconocida: ISP 1- PBF 1 mac de retorno
    simétrico: 00:1b:17:05:8c:10

    hora de inicio : Martes 8 de enero 16:23:55 2013
    tiempo de espera : 6 seg total
    byte count(c2s) : 98
    total byte count(s2c) : 98
    layer7 packet count(c2s) : 1
    layer7 packet count(s2c) : 1
    vsys : vsys1
    application : ping rule : all session to be log at end : True session
    in
    session
    ager : False session
    synced from peer : False HA
    address/port translation : source + destination
    nat-rule : INCOMING_NAT- ISP-1 (vsys1)
    layer7 processing             : filtrado habilitado
    URL : False        

    Coincide firewall con la regla PBF creada.

    En la salida a continuación, puedes ver el retorno mac donde se envía tráfico.

    > show pbf return-mac all
    current pbf configuation version:   0
    total return nexthop addresses :    8

    index   pbf id  ver  hw address          ip address
    return mac          egress port
    --------------------------------------------------------------------------------
    7       1       2    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    2       1       0    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    6       1       1    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    8       1       2    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    5       1       1    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    9       1       3    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    1       1       0    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    10      1       3    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1

    maximum of ipv4 return mac entries supported : 500
    entradas totales de ipv4 return mac en la tabla: 2
    entradas totales de ipv4 return mac mostradas: 2
    status: s - static, c - complete, e - expiración, i - incompleta

    pbf rule id ip address hw address port status ttl
    --------------------------------------------------------------------------------
    ISP1- PBF 1 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
    ISP1- PBF 1 5.1.1.1 00:1b:17:05:8c:8c:1 10 ethernet1/1 c 1800

    sesión vía syn-cookies : Sesión falsa
    terminada en el host : Sesión falsa atraviesa túnel : Sesión
    de portal cautivo falso : Interfaz de entrada falsa : interfaz de salida

    ethernet1/1
    : ethernet1/6
    sesión regla QoS : N / A (clase 4)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClF5CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language