PBF対称リターンを持つルールに一致する特定のトラフィックの転送が失敗する
25990
Created On 09/26/18 20:46 PM - Last Modified 04/19/21 16:42 PM
Symptom
Environment
- パロ アルト Firewall .
- 任意 PAN-OS の .
- Policy ベースフォワーディング。
Resolution
この問題は、対称的なリターンが有効になっているルールで '次ホップ アドレス' が設定されていない場合にのみ発生します PBF 。IP問題が発生しないように、[次ホップ アドレス] ボックスの一覧で有効なピア アドレスを構成します。 これは、 ポリシー GUI > Policy ベース転送を使用して行>、pbf ルール>転送>追加を選択します。
次ホップアドレスを設定すると、適切なリターン mac アドレスだけが対称リターンのために学習されることを保証します。
>show pbf return-mac all
maximum of ipv4 return mac entries supported : 16000
total ipv4 return mac entries in table : 12800
total ipv4 return mac entries shown : 12800
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737
symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746
symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745
symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746
Additional Information
対称のリターンを構成する方法