対称リターンの設定方法
Symptom
このドキュメントでは、Symmetric Return または Return to Sender 機能の簡単な設定を示します。
Environment
- パロアルトFirewall.
- 対称リターン
Resolution
この機能は、パケットをMACどこからのアドレスSYNまたはロストパケットを受信しました。これにより、リターン トラフィックはセッションが作成したのと同じインターフェイスをたどることが保証され、非対称ルーティングまたはデュアルで役立ちます。ISP環境。
例: トポロジ
上の図では、クライアント 5.1.1.1 からのトラフィックは、2 つのパブリック IP 1.1.1.83 および 2.1.1.83 を介して内部サーバー 192.168.83.2 に到達できます。これらのパブリック IP は両方とも、内部サーバーへの宛先変換を行います。トラフィックがイーサネット 1/1 上の ISP1 経由で内部サーバーに到着した場合、次の図に示すように、デフォルト ルートのイーサネット 1/2 ではなく、イーサネット 1/1 経由で戻りトラフィックが返されます。
NAT
- INCOMING_NAT-ISP-1 2 つのルールは、パブリックを翻訳するためのものです。IP内部サーバーへのアドレスIP192.168.83.2
- ISP1NAT および ISP2NAT は、トラフィックがそれぞれ ISP1 および ISP2 に送信される場合のアウトバウンド トラフィック用です。
通信網
ルーティング
- のfirewallISP2 を経由するデフォルト ルートが 1 つだけ設定されています。
PBF
- 対称リターンはに基づいていますPBF.
- 作成するPBFへの着信トラフィックのルールfirewallからのリターン トラフィックを送信するためfirewall受信したものと同じ入力インターフェイスに。
- 対称リターンはインターフェイスに基づいているため、[ソース タイプ] を [インターフェイス] として選択します。
ノート: ゾーンは有効な構成ではありません。また、トンネルに関連付けられた MAC アドレスがないため、トンネル インターフェイスは有効ではありません。
- 目的地を選択IP内部としてのアドレスIPサーバーのアドレス。
- 次のホストの構成IP宛先ネットワークが直接接続されていない場合はアドレス。
- 内部サーバーが同じセグメント上にあるため、イーサネット 1/6 が出力インターフェイスとして選択されます。
- 内部サーバーが同じサーバー上にない場合は、到達するネクストホップを指定しますNEXT HOP分野。
- を選択IPネクスト ホップとして ISP1 のアドレス (1.1.1.84)。
- 対称ルート リターンが機能していることを確認し、次のコマンドを実行します。
> セッション ID 6149 を表示
セッション 6149
c2s フロー:
ソース: 5.1.1.1 [DMZ ]
宛先: 1.1.1.83
プロト: 1
スポーツ: 13812 dport: 3
州:INITタイプ:FLOW
src ユーザー: 不明
dst ユーザー: 不明
pbf ルール: ISP1-PBF 1
s2c フロー:
ソース: 192.168.83.2 [L3-信頼]
宛先: 5.1.1.1
プロト: 1
スポーツ: 3 dポート: 13812
州:INITタイプ:FLOW
src ユーザー: 不明
dst ユーザー: 不明
pbf ルール: ISP1-PBF 1
対称リターン mac: 00:1b:17:05:8c:10
開始時間: 2013 年 1 月 8 日 (火) 16:23:55
タイムアウト: 6 秒
合計バイト数 (c2s) : 98
合計バイト数 (s2c) : 98
レイヤ 7 パケット数 (c2s) : 1
レイヤ 7 パケット数 (s2c) : 1
vsys: vsys1
アプリケーション: ping
ルール:全て
最後に記録するセッション: True
セッションエイジャーのセッション:False
から同期されたセッションHAピア: 偽
アドレス/ポート変換: ソース + 宛先
nat ルール: INCOMING_NAT-ISP-1 (vsys1)
layer7 処理: 有効
URLフィルタリングが有効: Falseのfirewall一致しているPBFルールが作成されました。
以下の出力では、トラフィックが送信されているリターン mac を確認できます。
> pbf return-mac をすべて表示
現在の pbf 構成バージョン: 0
合計リターン ネクスト ホップ アドレス: 8
インデックス pbf id バージョン ハードウェア アドレス ip アドレス
mac egress ポートを返す
-------------------------------------------------- ------------------------------
7 1 2 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
2 1 0 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
6 1 1 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
8 1 2 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
5 1 1 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
9 1 3 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
1 1 0 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
10 1 3 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 イーサネット 1/1
サポートされる ipv4 return mac エントリの最大数: 500
テーブル内の ipv4 リターン MAC エントリの合計: 2
表示されている ipv4 リターン mac エントリの合計: 2
ステータス: s - 静的、c - 完了、e - 期限切れ、i - 未完了
pbf ルール ID IP アドレス ハードウェア アドレス ポート ステータス ttl
-------------------------------------------------- ------------------------------
ISP1-PBF 1 1.1.1.84 00:1b:17:05:8c:10 イーサネット 1/1 秒 1603
ISP1-PBF 1 5.1.1.1 00:1b:17:05:8c:10 イーサネット 1/1 c 1800
syn-cookies 経由のセッション: False
ホストで終了したセッション: False
セッションがトンネルを横断する: False
キャプティブ ポータル セッション: False
入力インターフェイス: ethernet1/1
出力インターフェイス: ethernet1/6
セッション QoS ルール:N /A (クラス 4)