Los contadores globales muestran Flow_fwd_zonechange "incremento de paquetes"

Los contadores globales muestran Flow_fwd_zonechange "incremento de paquetes"

33000
Created On 09/26/18 13:55 PM - Last Modified 06/13/23 01:53 AM


Resolution


Incidencia

Un túnel VPN se cae y vuelve a subir. Un vistazo a los contadores globales muestran que el contador flow_fwd_zonechange está incrementando.

> Mostrar contador global

flow_fwd_zone. png

 

Causa

El contador flow_fwd_zonechange indica que la zona de salida de un paquete no coincide con la zona de salida de la sesión coincidente. Por esta razón, se elimina el paquete y se incrementa el contador flow_fwd_zonechange.

 

Escenario

Los paquetes se eliminan debido a un cambio de ruta. El contador flow_fwd_zonechange aumenta cuando se va a reenviar un paquete, pero la interfaz de la zona de salida no coincide con la zona de salida de la sesión debido a un cambio de ruta porque el túnel no está arriba. Para comprobar los incrementos de contadores globales, consulte la siguiente base de conocimientos Cómo comprobar los contadores globales para la dirección IP de origen y destino específicas

 

En este escenario, la tabla de enrutamiento inicial es la siguiente:

  • 0.0.0.0/0 métrica 10 Untrust Zone.
  • Una ruta de túnel a 10.10.10.10/24 a través de 1.1.1.1 métrica 5 tunnelzone.
  • Cuando el túnel se apaga, la ruta del túnel se quita de la tabla y la ruta predeterminada se utiliza para la red 10.10.10.10 en la zona Untrust.
  • Cuando el túnel vuelve a subir, considera esto una zona de cambio y deja caer los packs incrementando el contador flow_fwd_zonechange.

 

Resolución

Todas las sesiones destinadas a la zona de desconfianza cuando se va a 10.10.10.10/24 necesitan ser borradas y re-iniciadas.

Para evitar este cambio de zona, cree una dirección IP ficticia (ej: interfaz IP de la dirección de bucle invertido 5.5.5.5) en la zona del túnel para que la tabla de enrutamiento se vea así:

  • 0.0.0.0/0 métrica 10 Untrust Zone.
  • Una ruta de túnel a 10.10.10.10/24 a través de 1.1.1.1 métrica 5 tunnelzone.
  • Otra ruta de túnel a 10.10.10.10/24 a través de 5.5.5.5 métrico 10 tunnelzone.
  • Esto obliga al tráfico a utilizar la ruta con la métrica 10 en la misma zona de túnel cuando falla la ruta principal del túnel, y no hay ningún cambio de zona que ocurra cuando el túnel vuelva a subir.

 

Propietario: pvemuri
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1GCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language