Comment configurer le retour symétrique
Symptom
Ce document affiche une configuration simple de la fonction Retour symétrique ou retour à l’expéditeur
Environment
- Palo Alto Firewall .
- Rendement symétrique
Resolution
Cette fonctionnalité a transmis le paquet à l’adresse MAC d’où SYN le paquet ou perdu a été reçu.Cela garantit que le trafic de retour suit la même interface que la session créée et est utile dans un routage asymétrique ou des environnements ISP dual.
Exemple : Topologie
Dans le diagramme ci-dessus, le trafic du client 5.1.1.1 peut atteindre le serveur interne 192.168.83.2 via deux adresses publiques 1.1.1.83 et 2.1.1.83. Ces deux ADRESSES publiques font une traduction de destination vers le serveur interne.Si le trafic arrive au serveur interne via ISP1 sur Ethernet 1/1, alors le trafic de retour est retourné via Ethernet 1/1 au lieu de l’itinéraire par défaut Etherenet 1/2 comme indiqué dans le diagramme ci-dessous.
NAT
- INCOMING_NAT- ISP-1 et 2 règles sont pour traduire l’adresse publique IP au serveur interne IP 192.168.83.2
- ISP1NAT et ISP2NAT sont pour le trafic sortant lorsque le trafic part vers le FAI1 et ISP2 respectivement
réseau
Routage
- Le firewall est configuré avec un seul itinéraire par défaut passant par ISP2.
PBF
- Le rendement symétrique est basé sur PBF .
- Créez une PBF règle pour le trafic entrant dans le pour envoyer le trafic de retour de la même interface firewall firewall d’entrée que reçue.
- Retour symétrique étant basée sur des interfaces, sélectionnez le Type de Source comme Interface.
Remarque: Zone n’est pas une configuration valide.En outre, l’interface tunnel n’est pas valide car il n’y a pas d’adresse mac associée aux tunnels.
- Sélectionnez l’adresse de destination IP comme adresse interne du IP serveur.
- Configurez l’adresse IP Next Host si Destination Network n’est pas directement connecté.
- Ethernet 1/6 est sélectionné comme l’interface de sortie car le serveur interne est sur le même segment.
- Si le serveur interne n’est pas sur le même serveur alors, spécifiez le saut suivant pour atteindre NEXT HOP dans le champ.
- Sélectionnez IP l’adresse isp1 comme prochain saut (1.1.1.84).
- Vérifier que l’itinéraire symétrique retour fonctionne, exécutez les commandes suivantes :
> show session id 6149
Session 6149
c2s flow:
source: 5.1.1.1 [ DMZ ]
dst: 1.1.1.83
proto: 1
sport: 13812 dport: 3
état: INIT type: src FLOW
utilisateur: utilisateur inconnu
dst: règle pbf inconnue: IS FluxP1- PBF 1
s2c:
source: 192.168.83.2 [L3-Trust]
dst: 5.1.1.1
proto: 1
sport: 3 dport: 13812
état: INIT type: src FLOW
utilisateur: utilisateur inconnu
dst: règle pbf inconnue: ISP1- PBF 1 retour
symétrique mac: 00:1b:17:05:8c:10
heure de départ : Mar Jan 8 16:23:55 2013
temps d’attente : 6 sec
total byte count (c2s) : 98
total byte count (s2c) : 98
layer7 nombre de paquets (c2s) : 1
couche7 nombre de paquets (s2c) : 1
vsys : application vsys1 : règle ping : toute session à connecter à la fin : Vraie session en session ager : Fausse session synchronisée à partir
de pairs : Fausse
HA
adresse/traduction portuaire : source + destination
nat-rule : INCOMING_NAT- ISP-1 (vsys1)
traitement layer7 :
URL filtrage activé activé : FauxLe firewall correspond à la règle PBF créée.
Dans le résultat ci-dessous, vous pouvez voir le mac retour où le trafic est envoyé.
> show pbf return-mac all
current pbf configuation version: 0
total return nexthop addresses : 8
index pbf id ver hw address ip address
return mac egress port
--------------------------------------------------------------------------------
7 1 2 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
2 1 0 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
6 1 1 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
8 1 2 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
5 1 1 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
9 1 3 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
1 1 0 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
10 1 3 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
maximum of ipv4 return mac entries supported : 500
entrées totales ipv4 return mac dans le tableau : 2
entrées ipv4 mac de retour totales affichées : 2
statuts : s - statique, c - complet, e - expirant, i -
incomplète pbf règle id adresse ip hw adresse port status ttl
--------------------------------------------------------------------------------
FAI1- PBF 1 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
ISP1- PBF 1 5.1.1.1 00:1b:17:05:8c:10 ethernet1/1 c 1800
session via syn-cookies : Fausse session terminée sur
l’hôte : Fausse
session traverse tunnel : Fausse session de portail
captif : Fausse interface
d’entrée : interface d’évacuation ethernet1/1
: règle QoS de session ethernet1/6
: / N A (classe 4)