グローバルカウンタは Flow_fwd_zonechange "パケットの増分" を示します
33006
Created On 09/26/18 13:55 PM - Last Modified 06/13/23 01:53 AM
Resolution 問題
vpn トンネルがダウンして戻ってくる。グローバルカウンタを見ると、flow_fwd_zonechange カウンタがインクリメントされていることが示されます。
> カウンタグローバルの表示
原因
flow_fwd_zonechange カウンタは、 パケットの出力ゾーンが一致するセッションの送信ゾーンと一致しないことを示します。このため、パケットが削除され、flow_fwd_zonechange カウンタがインクリメントされます。
シナリオ
ルートの変更により、パケットが削除されます。flow_fwd_zonechange カウンタは、パケットの転送時にインクリメントされますが、トンネルがアップしてい ないため、ルートの変更により、送信インターフェイスのゾーンがセッションの送信ゾーンと一致しません。グローバルカウンタの増分を確認するには、次のサポート技術情報を参照してください。特定の送信元 および宛先 IP アドレスのグローバルカウンタを確認する方法
このシナリオでは、最初のルーティングテーブルは次のとおりです。
0.0.0.0/0 メトリック 10 untrust ゾーン。 1.1.1.1 メートル 5 tunnelzone を介して 10.10.10.10/24 へのトンネルルート。 トンネルがダウンすると、トンネルルートがテーブルから削除され、untrust ゾーンの10.10.10.10 ネットワークに既定のルートが使用されます。 トンネルが戻ってくると、これはゾーンの変更と見なし、flow_fwd_zonechange カウンタをインクリメントする packts をドロップし ます。
解決方法
10.10.10.10/24 に行くときに untrust ゾーンに宛てられたすべてのセッションは、クリアして再起動する必要があります。
このゾーンの変更を回避するには、トンネルゾーンにダミー ip アドレス (例: ループバックインターフェイス ip アドレス 5.5.5.5) を作成して、ルーティングテーブルを次のようにしてください。
0.0.0.0/0 メトリック 10 untrust ゾーン。 1.1.1.1 メートル 5 tunnelzone を介して 10.10.10.10/24 へのトンネルルート。 5.5.5.5 メートル 10 tunnelzone を介して 10.10.10.10/24 への別のトンネルルート。 これにより、プライマリトンネルルートが失敗したときに、同じトンネルゾーン内のメトリック10のルートが使用され、トンネルがバックアップされたときに発生するゾーンの変更はありません。
所有者: pvemuri