Se produce un error en el reenvío para el tráfico específico qu... - Knowledge Base - Palo Alto Networks

Se produce un error en el reenvío para el tráfico específico que coincide con una PBF regla con el retorno simétrico

32892

Created On 09/26/18 20:46 PM - Last Modified 04/19/21 16:42 PM

Symptom

Síntomas

Cuando Policy -Based Forwarding ( PBF ) está configurado con la opción "Aplicar retorno simétrico" habilitada, pero sin una dirección de salto siguiente, el reenvío puede fallar.

Diagnóstico

Cuando ocurre el problema, usted puede ver que las entradas del mac de retorno han alcanzado su nivel máximo cuando usted funciona con el comando show pbf return-mac all.

user@firewall> show pbf return-mac all

current pbf configuation version:   1
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1000
total ipv4 return mac entries in table :           1000
total ipv4 return mac entries shown :              1000
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

Nota: El número máximo de entradas que admite esta ARP tabla está limitado por el modelo y el valor no es configurable por el firewall usuario. Para determinar el límite del modelo, utilice el CLI comando: show pbf return-mac all.

Environment

Palo Alto Firewall .
Cualquier PAN-OS archivo .
Policy Reenvío basado.

Resolution

Este problema solo se producirá si la "Dirección de salto siguiente" no se establece en una PBF regla que tenga habilitada la devolución simétrica.Configure una dirección del mismo nivel válida IP en la lista de direcciones del salto siguiente para evitar encontrarse con el problema. Esto se puede hacer usando GUI : Directivas > Policy Reenvío basado > seleccione la regla pbf > Reenvío > Agregar

NextHopAddress. jpg

La configuración de la dirección de salto siguiente asegura que sólo se aprenden las direcciones MAC de retorno apropiadas para el retorno simétrico

>show pbf return-mac all

maximum of ipv4 return mac entries supported : 16000
total ipv4 return mac entries in table : 12800
total ipv4 return mac entries shown : 12800
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737
symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746
symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745
symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746

Additional Information

Cómo configurar retorno simétrico

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)