全局计数器显示 Flow_fwd_zonechange "数据包递增"

问题

一个 vpn 隧道就会往下走, 然后又回来了。查看全局计数器显示flow_fwd_zonechange计数器正在递增.

>> 显示计数器全局

原因

flow_fwd_zonechange计数器表示数据包的出口区域与匹配会话的出口区域不匹配. 因此, 数据包被丢弃, flow_fwd_zonechange计数器递增.

方案

由于路由更改, 数据包被丢弃。当转发数据包时, flow_fwd_zonechange 计数器递增, 但由于路由更改, 出口接口区域与会话中的出口区域不匹配, 因为隧道不向上. 要验证全局计数器增量, 请参阅以下知识库如何检查特定源和目标 IP 地址的全局计数器

在这种情况下, 初始路由表如下所示:

• 0.0. 0.0/0 公尺10不信任区。
• 通过1.1.1.1 公尺 5 tunnelzone 的隧道路线到 10.10.10.10/24。
• 当隧道关闭时, 隧道路由将从表中移除, 并且默认路由用于不信任区域中的10.10.10.10 网络。
• 当隧道重新出现时, 它会认为这是一个区域变化, 并降低 packts 递增flow_fwd_zonechange计数器.

解决办法

当 10.10.10.10/24 需要清除并重新启动时, 所有要到不信任区域的会话都要进行清理。

要避免此区域更改, 请在隧道区域中创建一个虚拟 IP 地址 (ex: 环回接口 IP 地址 5.5.5.5), 以使路由表看起来像这样:

• 0.0. 0.0/0 公尺10不信任区。
• 通过1.1.1.1 公尺 5 tunnelzone 的隧道路线到 10.10.10.10/24。
• 另一条隧道路线到 10.10.10.10/24 通过5.5.5.5 公制 10 tunnelzone。
• 这将强制通信在主隧道路由失败时在同一隧道区域中使用与公制10相同的路由, 并且在隧道恢复时不会发生区域更改。

所有者： pvemuri