Les compteurs globaux montrent Flow_fwd_zonechange "paquets incrémentant"

Les compteurs globaux montrent Flow_fwd_zonechange "paquets incrémentant"

33023
Created On 09/26/18 13:55 PM - Last Modified 06/13/23 01:53 AM


Resolution


Demande client

Un tunnel VPN descend et revient. Un regard sur les compteurs globaux montrent que le compteur flow_fwd_zonechange est incrémenté.

> Show Counter global

flow_fwd_zone. png

 

Cause

Le compteur flow_fwd_zonechange indique que la zone de sortie d'un paquet ne correspond pas à la zone de sortie de la session correspondante. Pour cette raison, le paquet est supprimé et le compteur flow_fwd_zonechange est incrémenté.

 

Scénario

Les paquets sont supprimés en raison d'un changement d'itinéraire. Le compteur flow_fwd_zonechange s' incrémente lorsqu'un paquet doit être transféré, mais la zone d'interface de sortie ne correspond pas à la zone de sortie de la session en raison d'un changement d'itinéraire car le tunnel n'est pas en place. Pour vérifier les incréments globaux de compteur, consultez la base de connaissances suivante Comment vérifier les compteurs globaux pour une adresse IP de source et de destination spécifique

 

Dans ce scénario, la table de routage initiale est la suivante:

  • 0.0.0.0/0 zone de non-confiance métrique 10.
  • Une route de tunnel à 10.10.10.10/24 à 1.1.1.1 métrique 5 tunnelzone.
  • Lorsque le tunnel descend, l'itinéraire du tunnel est supprimé de la table et l'itinéraire par défaut est utilisé pour le réseau 10.10.10.10 dans la zone de non-approbation.
  • Lorsque le tunnel remonte, il considère qu'une zone change et laisse tomber le Packts incrémentant le compteur flow_fwd_zonechange.

 

Résolution

Toutes les sessions destinées à la zone de non-confiance lorsque vous allez à 10.10.10.10/24 doivent être effacées et ré-initié.

Pour éviter cette modification de zone, créez une adresse IP factice (ex: interface IP address 5.5.5.5) dans la zone de tunnel pour que la table de routage ressemble à ceci:

  • 0.0.0.0/0 zone de non-confiance métrique 10.
  • Une route de tunnel à 10.10.10.10/24 à 1.1.1.1 métrique 5 tunnelzone.
  • Une autre route de tunnel à 10.10.10.10/24 à 5.5.5.5 métrique 10 tunnelzone.
  • Cela force le trafic à utiliser l'itinéraire avec métrique 10 dans la même zone de tunnel lorsque l'itinéraire du tunnel principal échoue, et il n'y a pas de changement de zone qui se produit lorsque le tunnel revient.

 

propriétaire : pvemuri
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1GCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language