Die Weiterleitung schlägt für bestimmten Datenverkehr fehl, der einer PBF Regel mit symmetrischer Rückgabe entspricht.

25986

Created On 09/26/18 20:46 PM - Last Modified 04/19/21 16:42 PM

Symptom

Symptome

Wenn Policy -Based Forwarding ( PBF ) mit aktivierter Option "Symmetrische Rückgabe erzwingen" konfiguriert ist, jedoch ohne Next Hop-Adresse, schlägt die Weiterleitung möglicherweise fehl.

Diagnose

Wenn das Problem auftritt, können Sie sehen, dass die Rückgabe-Mac-Einträge ihre maximale Stufe erreicht haben, wenn Sie den Befehl show pbf return-mac all ausführen.

user@firewall> show pbf return-mac all

current pbf configuation version:   1
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1000
total ipv4 return mac entries in table :           1000
total ipv4 return mac entries shown :              1000
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

Hinweis: Die maximale Anzahl von Einträgen, die diese ARP Tabelle unterstützt, ist durch das firewall Modell begrenzt, und der Wert ist nicht vom Benutzer konfigurierbar. Um das Limit für Ihr Modell zu bestimmen, verwenden Sie den CLI Befehl: pbf return-mac all anzeigen.

Environment

Palo Alto Firewall .
Jede PAN-OS .
Policy Based Forwarding.

Resolution

Dieses Problem tritt nur auf, wenn die "Next-Hop-Adresse" nicht in einer Regel festgelegt ist, für die PBF eine symmetrische Rückgabe aktiviert ist.Konfigurieren Sie eine gültige IP Peeradresse in der Liste Next Hop Address, um das Problem nicht zu beheben. Dies kann GUI mit: Richtlinien > Policy basierte Weiterleitung > wählen Sie die pbf-Regel > Weiterleitung > Hinzufügen

NextHopAddress. jpg

Das Setzen der nächsten Hop-Adresse sorgt dafür, dass nur die entsprechenden Return Mac-Adressen für die symmetrische Rendite erlernt werden

>show pbf return-mac all

maximum of ipv4 return mac entries supported : 16000
total ipv4 return mac entries in table : 12800
total ipv4 return mac entries shown : 12800
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737
symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746
symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745
symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746

Additional Information

Konfigurieren von symmetrischen Rückkehr