L’adage échoue pour un trafic spécifique qui correspond à PBF u... - Knowledge Base - Palo Alto Networks

L’adage échoue pour un trafic spécifique qui correspond à PBF une règle avec un retour symétrique

32892

Created On 09/26/18 20:46 PM - Last Modified 04/19/21 16:42 PM

Symptom

Symptômes

Lorsque Policy l’forwarding basé PBF ( ) est configuré avec l’option « Enforce Symmetric Return » activée, mais sans adresse Next Hop, le forwarding peut échouer.

Diagnostic

Lorsque le problème se produit, vous pouvez voir les entrées mac de retour ont atteint leur niveau maximum lorsque vous exécutez le show pbf return-mac toutes les commandes.

user@firewall> show pbf return-mac all

current pbf configuation version:   1
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1000
total ipv4 return mac entries in table :           1000
total ipv4 return mac entries shown :              1000
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

Remarque : Le nombre maximal d’entrées que prend ARP en charge ce tableau est limité par le modèle et la valeur firewall n’est pas configurable par l’utilisateur. Pour déterminer la limite de votre modèle, utilisez la CLI commande : afficher le retour-mac pbf tout.

Environment

Palo Alto Firewall .
Tout PAN-OS .
Policy Forwarding basé.

Resolution

Ce problème ne se produira que si l’adresse Next-Hop n’est pas définie dans PBF une règle dont le retour symétrique est activé.Configurez une adresse peer IP valide dans la liste d’adresses Next Hop pour éviter de tomber sur le problème. Cela peut être fait en GUI utilisant : Les stratégies Policy >'> base pour sélectionner la règle pbf > forwarding > Ajouter

NextHopAddress. jpg

La définition de l'adresse de saut suivante garantit que seules les adresses Mac de retour appropriées sont apprises pour le retour symétrique

>show pbf return-mac all

maximum of ipv4 return mac entries supported : 16000
total ipv4 return mac entries in table : 12800
total ipv4 return mac entries shown : 12800
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737
symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746
symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745
symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746

Additional Information

Comment configurer le retour symétrique

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)