Comment configurer le retour symétrique

Comment configurer le retour symétrique

154576
Created On 09/25/18 17:19 PM - Last Modified 09/01/23 08:24 AM


Symptom


Ce document affiche une configuration simple de la fonction Retour symétrique ou retour à l’expéditeur

Environment


  • Palo Alto Firewall .
  • Rendement symétrique

Resolution


Cette fonctionnalité a transmis le paquet à l’adresse MAC d’où SYN le paquet ou perdu a été reçu.Cela garantit que le trafic de retour suit la même interface que la session créée et est utile dans un routage asymétrique ou des environnements ISP dual.

Exemple : Topologie

SS1.png

Dans le diagramme ci-dessus, le trafic du client 5.1.1.1 peut atteindre le serveur interne 192.168.83.2 via deux adresses publiques 1.1.1.83 et 2.1.1.83.  Ces deux ADRESSES publiques font une traduction de destination vers le serveur interne.Si le trafic arrive au serveur interne via ISP1 sur Ethernet 1/1, alors le trafic de retour est retourné via Ethernet 1/1 au lieu de l’itinéraire par défaut Etherenet 1/2 comme indiqué dans le diagramme ci-dessous.

 

SS2.png

NAT

SS3.png

  • INCOMING_NAT- ISP-1 et 2 règles sont pour traduire l’adresse publique IP au serveur interne IP 192.168.83.2
  • ISP1NAT et ISP2NAT sont pour le trafic sortant lorsque le trafic part vers le FAI1 et ISP2 respectivement


réseau

SS4.png

 

Routage

SS5.png

  • Le firewall est configuré avec un seul itinéraire par défaut passant par ISP2.

 

PBF

  • Le rendement symétrique est basé sur PBF .
  • Créez une PBF règle pour le trafic entrant dans le pour envoyer le trafic de retour de la même interface firewall firewall d’entrée que reçue.

SS6.png

  • Retour symétrique étant basée sur des interfaces, sélectionnez le Type de Source comme Interface.

Remarque: Zone n’est pas une configuration valide.En outre, l’interface tunnel n’est pas valide car il n’y a pas d’adresse mac associée aux tunnels.

SS7.png

  • Sélectionnez l’adresse de destination IP comme adresse interne du IP serveur.
  • Configurez l’adresse IP Next Host si Destination Network n’est pas directement connecté.

SS8.png

  • Ethernet 1/6 est sélectionné comme l’interface de sortie car le serveur interne est sur le même segment.
  • Si le serveur interne n’est pas sur le même serveur alors, spécifiez le saut suivant pour atteindre NEXT HOP dans le champ.
  • Sélectionnez IP l’adresse isp1 comme prochain saut (1.1.1.84).
  • Vérifier que l’itinéraire symétrique retour fonctionne, exécutez les commandes suivantes :

    > show session id 6149
    Session 6149
    c2s flow:
    source: 5.1.1.1 [ DMZ ]
    dst: 1.1.1.83
    proto: 1
    sport: 13812 dport: 3
    état: INIT type: src FLOW
    utilisateur: utilisateur inconnu

    dst: règle pbf inconnue: IS FluxP1- PBF 1

    s2c:
    source: 192.168.83.2 [L3-Trust]
    dst: 5.1.1.1
    proto: 1
    sport: 3 dport: 13812
    état: INIT type: src FLOW
    utilisateur: utilisateur inconnu

    dst: règle pbf inconnue: ISP1- PBF 1 retour
    symétrique mac: 00:1b:17:05:8c:10

    heure de départ : Mar Jan 8 16:23:55 2013
    temps d’attente : 6 sec
    total byte count (c2s) : 98
    total byte count (s2c) : 98
    layer7 nombre de paquets (c2s) : 1
    couche7 nombre de paquets (s2c) : 1
    vsys : application vsys1 : règle ping : toute session à connecter à la fin : Vraie session en session ager : Fausse session synchronisée à partir
    de pairs : Fausse



    HA
    adresse/traduction portuaire : source + destination
    nat-rule : INCOMING_NAT- ISP-1 (vsys1)
    traitement layer7             :
    URL filtrage activé activé : Faux        

    Le firewall correspond à la règle PBF créée.

    Dans le résultat ci-dessous, vous pouvez voir le mac retour où le trafic est envoyé.

    > show pbf return-mac all
    current pbf configuation version:   0
    total return nexthop addresses :    8

    index   pbf id  ver  hw address          ip address
    return mac          egress port
    --------------------------------------------------------------------------------
    7       1       2    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    2       1       0    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    6       1       1    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    8       1       2    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    5       1       1    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    9       1       3    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    1       1       0    00:1b:17:05:8c:10   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1
    10      1       3    00:00:00:00:00:00   1.1.1.84
    00:1b:17:05:8c:10   ethernet1/1

    maximum of ipv4 return mac entries supported : 500
    entrées totales ipv4 return mac dans le tableau : 2
    entrées ipv4 mac de retour totales affichées : 2
    statuts : s - statique, c - complet, e - expirant, i -

    incomplète pbf règle id adresse ip hw adresse port status ttl
    --------------------------------------------------------------------------------
    FAI1- PBF 1 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
    ISP1- PBF 1 5.1.1.1 00:1b:17:05:8c:10 ethernet1/1 c 1800

    session via syn-cookies : Fausse session terminée sur
    l’hôte : Fausse
    session traverse tunnel : Fausse session de portail
    captif : Fausse interface
    d’entrée : interface d’évacuation ethernet1/1
    : règle QoS de session ethernet1/6
    : / N A (classe 4)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClF5CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language