Globale Zähler zeigen Flow_fwd_zonechange "Pakete inkrementat"

Globale Zähler zeigen Flow_fwd_zonechange "Pakete inkrementat"

33033
Created On 09/26/18 13:55 PM - Last Modified 06/13/23 01:53 AM


Resolution


Problem

Ein VPN-Tunnel geht runter und kommt wieder auf. Ein Blick auf die globalen Zähler zeigt, dass der flow_fwd_zonechange Zähler erhöht.

> Counter Global

flow_fwd_zone. png

 

Ursache

Der flow_fwd_zonechange- Zähler zeigt an, dass die Egress-Zone eines Pakets nicht mit der Egress-Zone der passenden Session übereinstimmt. Aus diesem Grund wird das Paket gelöscht und der flow_fwd_zonechange- Zähler erhöht.

 

Szenario

Pakete werden wegen eines Strecken Wechsels fallen gelassen. Der flow_fwd_zonechange- Zähler erhöht sich, wenn ein Paket weitergeleitet werden soll, aber die Zone der Egress-Schnittstelle entspricht nicht der Egress-Zone in der Sitzung aufgrund eines Routen Wechsels, da der Tunnel nicht oben ist. Um globale Counter-Inkremente zu verifizieren, lesen Sie bitte die folgende Wissensdatenbank, wie Sie globale Zähler für bestimmte Quell -und Ziel IP-Adresse überprüfen

 

In diesem Szenario ist die erste Routing-Tabelle wie folgt:

  • 0.0.0.0/0 Metric 10 Untrust Zone.
  • Eine Tunnelstrecke nach 10.10.10.10/24 durch 1.1.1.1 metrische 5 Tunnel Zone.
  • Wenn der Tunnel untergeht, wird die Tunnelstrecke vom Tisch entfernt und die Standardroute für das 10.10.10.10-Netz in der unvertrauens Zone genutzt.
  • Wenn der Tunnel wieder auftaucht, hält er dies für eine Zonen Änderung und lässt die hat packts, die den flow_fwd_zonechange- Zähler erhöhen, fallen.

 

Lösung

Alle Sitzungen, die für die unvertrauens Zone bestimmt sind, wenn Sie auf 10.10.10.10/24 gehen, müssen geräumt und neu initiiert werden.

Um diese Zonen Änderung zu vermeiden, erstellen Sie eine Dummy-IP-Adresse (ex: Loopback Interface IP-Adresse 5.5.5.5) in der Tunnel Zone, um die Routing-Tabelle so aussehen zu lassen:

  • 0.0.0.0/0 Metric 10 Untrust Zone.
  • Eine Tunnelstrecke nach 10.10.10.10/24 durch 1.1.1.1 metrische 5 Tunnel Zone.
  • Eine weitere Tunnelstrecke nach 10.10.10.10/24 durch 5.5.5.5 metrische 10 Tunnel Zone.
  • Dies zwingt den Verkehr, die Strecke mit metric 10 in der gleichen Tunnel Zone zu nutzen, wenn die primäre Tunnelstrecke ausfällt, und es gibt keine Zonen Änderung, die auftritt, wenn der Tunnel wieder auftaucht.

 

Besitzer: Pvemuri
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1GCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language