如何配置对称返回

如何配置对称返回

154582
Created On 09/25/18 17:19 PM - Last Modified 09/01/23 08:24 AM


Symptom


本文档显示了对称返回或返回给发件人功能的简单配置

Environment


  • 帕洛阿尔托Firewall.
  • 对称回报

Resolution


此功能将数据包转发到MAC地址从哪里SYN或收到丢失的数据包。这可确保返回流量遵循会话创建的同一接口,并且在非对称路由或双重路由中很有用ISP环境。

示例:拓扑

ss1.png

在上图中,来自客户端5.1.1.1的流量可以通过两个公网IP 1.1.1.83和2.1.1.83到达内部服务器192.168.83.2。这两个公共 IP 都对内部服务器进行目标转换。如果流量通过以太网 1/1 上的 ISP1 到达内部服务器,则返回流量通过以太网 1/1 而不是默认路由以太网 1/2 返回,如下图所示。

 

ss2.png

NAT

ss3.png

  • INCOMING_NAT-ISP-1 2条规则用于翻译公众IP内部服务器地址IP192.168.83.2
  • 当流量分别离开 ISP1 和 ISP2 时,ISP1NAT 和 ISP2NAT 用于出站流量


网络

ss4.png

 

路由

ss5.png

  • 这firewall仅配置了一条通过 ISP2 的默认路由。

 

PBF

  • 对称回报是基于PBF.
  • 创建一个PBF传入流量的规则firewall用于发送返回流量firewall到与接收到的相同的入口接口。

ss6.png

  • 因为对称返回是基于接口的,所以选择 Source Type 作为 Interface。

笔记: 区域不是有效配置。此外,隧道接口无效,因为没有与隧道关联的 mac 地址。

ss7.png

  • 选择目的地IP地址作为内部IP服务器的地址。
  • 配置下一个主机IP如果目标网络未直接连接,则为地址。

ss8.png

  • Ethernet 1/6 被选为出接口,因为内部服务器在同一网段。
  • 如果内部服务器不在同一台服务器上,则指定要到达的下一跳NEXT HOP场地。
  • 选择IPISP1 的地址作为下一跳 (1.1.1.84)。
  • 验证对称路由返回是否有效,运行以下命令:

    >> 显示会话 ID 6149
    会议 6149
    c2s流程:
    来源:5.1.1.1 [DMZ ]
    夏令时:1.1.1.83
    原型:1
    运动:13812 dport:3
    状态:INIT类型:FLOW
    源用户:未知
    dst用户:未知
    pbf 规则:ISP1-PBF 1个

    S2C流程:
    来源:192.168.83.2 [L3-Trust]
    夏令时:5.1.1.1
    原型:1
    运动:3 dport:13812
    状态:INIT类型:FLOW
    源用户:未知
    dst用户:未知
    pbf 规则:ISP1-PBF 1个
    对称返回 mac:00:1b:17:05:8c:10

    开始时间:2013 年 1 月 8 日星期二 16:23:55
    超时:6 秒
    总字节数(c2s):98
    总字节数(s2c):98
    第 7 层数据包计数(c2s):1
    第 7 层数据包计数(s2c):1
    vsys : vsys1
    应用:平
    规则:全部
    结束时记录的会话:True
    会话中的会话 : False
    会话同步自HA同行:假
    地址/端口转换:源+目标
    自然规则:INCOMING_NAT-ISP-1 (vsys1)
    layer7 处理:启用
    URL启用过滤:假

    这firewall正在匹配PBF规则创建。

    在下面的输出中,您可以看到发送流量的返回 mac。

    >> 显示 pbf 返回 mac 所有
    当前 pbf 配置版本:0
    总返回 nexthop 地址:8

    index pbf id ver hw address ip address
    返回 mac 出口端口
    ---------------------------------------------- ------------------------------
    7 1 2 00:1b:17:05:8c:10 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    2 1 0 00:00:00:00:00:00 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    6 1 1 00:1b:17:05:8c:10 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    8 1 2 00:00:00:00:00:00 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    5 1 1 00:00:00:00:00:00 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    9 1 3 00:1b:17:05:8c:10 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    1 1 0 00:1b:17:05:8c:10 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1
    10 1 3 00:00:00:00:00:00 1.1.1.84
    00:1b:17:05:8c:10 以太网 1/1

    支持的 ipv4 返回 mac 条目的最大值:500
    表中的总 ipv4 返回 mac 条目:2
    显示的总 ipv4 返回 mac 条目:2
    状态:s - 静态,c - 完成,e - 过期,i - 不完整

    pbf 规则 id ip 地址 hw 地址 端口状态 ttl
    ---------------------------------------------- ------------------------------
    ISP1-PBF 1 1.1.1.84 00:1b:17:05:8c:10 以太网 1/1 1603
    ISP1-PBF 1 5.1.1.1 00:1b:17:05:8c:10 以太网 1/1 c 1800

    通过 syn-cookie 的会话:False
    会话在主机上终止:False
    会话遍历隧道:假
    强制门户会话:假
    入口接口:ethernet1/1
    出口接口:ethernet1/6
    会话 QoS 规则:N /A (第 4 类)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClF5CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language