グローバルカウンタは Flow_fwd_zonechange "パケットの増分" を示します

問題

vpn トンネルがダウンして戻ってくる。グローバルカウンタを見ると、flow_fwd_zonechangeカウンタがインクリメントされていることが示されます。

> カウンタグローバルの表示

原因

flow_fwd_zonechange カウンタは、パケットの出力ゾーンが一致するセッションの送信ゾーンと一致しないことを示します。このため、パケットが削除され、flow_fwd_zonechangeカウンタがインクリメントされます。

シナリオ

ルートの変更により、パケットが削除されます。flow_fwd_zonechange カウンタは、パケットの転送時にインクリメントされますが、トンネルがアップしていないため、ルートの変更により、送信インターフェイスのゾーンがセッションの送信ゾーンと一致しません。グローバルカウンタの増分を確認するには、次のサポート技術情報を参照してください。特定の送信元および宛先 IP アドレスのグローバルカウンタを確認する方法

このシナリオでは、最初のルーティングテーブルは次のとおりです。

• 0.0.0.0/0 メトリック 10 untrust ゾーン。
• 1.1.1.1 メートル 5 tunnelzone を介して 10.10.10.10/24 へのトンネルルート。
• トンネルがダウンすると、トンネルルートがテーブルから削除され、untrust ゾーンの10.10.10.10 ネットワークに既定のルートが使用されます。
• トンネルが戻ってくると、これはゾーンの変更と見なし、flow_fwd_zonechange カウンタをインクリメントする packts をドロップします。

解決方法

10.10.10.10/24 に行くときに untrust ゾーンに宛てられたすべてのセッションは、クリアして再起動する必要があります。

このゾーンの変更を回避するには、トンネルゾーンにダミー ip アドレス (例: ループバックインターフェイス ip アドレス 5.5.5.5) を作成して、ルーティングテーブルを次のようにしてください。

• 0.0.0.0/0 メトリック 10 untrust ゾーン。
• 1.1.1.1 メートル 5 tunnelzone を介して 10.10.10.10/24 へのトンネルルート。
• 5.5.5.5 メートル 10 tunnelzone を介して 10.10.10.10/24 への別のトンネルルート。
• これにより、プライマリトンネルルートが失敗したときに、同じトンネルゾーン内のメトリック10のルートが使用され、トンネルがバックアップされたときに発生するゾーンの変更はありません。

所有者: pvemuri