Cómo configurar retorno simétrico
Symptom
Este documento muestra una configuración simple de la función Retorno simétrico o Retorno al remitente
Environment
- Palo Alto Firewall .
- Retorno simétrico
Resolution
Esta característica reenvía el paquete a la MAC dirección desde donde se recibió el paquete o SYN perdido.Esto garantiza que el tráfico de retorno siga la misma interfaz que la sesión creó y es útil en un ruteo asimétrico o ISP en entornos duales.
Ejemplo: Topología
En el diagrama antedicho, el tráfico del cliente 5.1.1.1 puede alcanzar el servidor interno 192.168.83.2 vía dos IP públicas 1.1.1.83 y 2.1.1.83. Ambas direcciones IP públicas hacen una traducción de destino al servidor interno.Si el tráfico llega al servidor interno vía el ISP1 en los Ethernetes 1/1, después el tráfico de retorno se devuelve vía los Ethernetes 1/1 en vez de la ruta predeterminada Etherenet 1/2 tal y como se muestra en del diagrama abajo.
NAT
- INCOMING_NAT- ISP-1 y 2 reglas son para traducir la IP megafonía al servidor interno IP 192.168.83.2
- ISP1NAT e ISP2NAT son para el tráfico saliente cuando el tráfico está saliendo al ISP1 e ISP2 respectivamente
Red
Enrutamiento
- El firewall se configura con solamente una ruta predeterminada pasando a través del ISP2.
PBF
- El retorno simétrico se basa en PBF .
- Cree una PBF regla para el tráfico entrante en el para enviar el tráfico de retorno de la misma interfaz firewall de entrada que firewall recibió.
- Porque regreso simétrico se basa en interfaces, seleccione el tipo de fuente como interfaz.
Nota:La zona no es una configuración válida.También, la interfaz del túnel no es válida puesto que no hay ninguna dirección mac asociada con los túneles.
- Seleccione la dirección de destino IP como dirección interna del IP servidor.
- Configure la siguiente dirección host IP si la red de destino no está conectada directamente.
- Ethernet 1/6 es seleccionado como el interfaz de salida porque el servidor interno es en el mismo segmento.
- Si el servidor interno no está en el mismo servidor, especifique el siguiente salto para llegar en NEXT HOP el campo.
- Seleccione la IP dirección del ISP1 como salto siguiente (1.1.1.84).
- Verificar que la ruta simétrica retorno funciona, ejecute los siguientes comandos:
> mostrar id de sesión 6149
Sesión 6149
c2s flujo:
fuente: 5.1.1.1 [ DMZ ]
dst: 1.1.1.83
proto: 1
deporte: 13812 dport: 3
estado: INIT tipo: FLOW
src usuario: usuario desconocido
dst:
regla pbf desconocida: ISP1- PBF 1 flujo
s2c:
fuente: 192.168.83.2 [L3-Trust]
dst: 5.1.1.1
proto: 1
deporte: 3 dport: 13812
estado: INIT tipo: FLOW
src usuario: usuario desconocido
dst:
regla pbf desconocida: ISP 1- PBF 1 mac de retorno
simétrico: 00:1b:17:05:8c:10
hora de inicio : Martes 8 de enero 16:23:55 2013
tiempo de espera : 6 seg total
byte count(c2s) : 98
total byte count(s2c) : 98
layer7 packet count(c2s) : 1
layer7 packet count(s2c) : 1
vsys : vsys1
application : ping rule : all session to be log at end : True session
in
session
ager : False session
synced from peer : False HA
address/port translation : source + destination
nat-rule : INCOMING_NAT- ISP-1 (vsys1)
layer7 processing : filtrado habilitado
URL : FalseCoincide firewall con la regla PBF creada.
En la salida a continuación, puedes ver el retorno mac donde se envía tráfico.
> show pbf return-mac all
current pbf configuation version: 0
total return nexthop addresses : 8
index pbf id ver hw address ip address
return mac egress port
--------------------------------------------------------------------------------
7 1 2 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
2 1 0 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
6 1 1 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
8 1 2 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
5 1 1 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
9 1 3 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
1 1 0 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
10 1 3 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
maximum of ipv4 return mac entries supported : 500
entradas totales de ipv4 return mac en la tabla: 2
entradas totales de ipv4 return mac mostradas: 2
status: s - static, c - complete, e - expiración, i - incompleta
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
ISP1- PBF 1 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
ISP1- PBF 1 5.1.1.1 00:1b:17:05:8c:8c:1 10 ethernet1/1 c 1800
sesión vía syn-cookies : Sesión falsa
terminada en el host : Sesión falsa atraviesa túnel : Sesión
de portal cautivo falso : Interfaz de entrada falsa : interfaz de salida
ethernet1/1
: ethernet1/6
sesión regla QoS : N / A (clase 4)