Asymmetrisches Routing zwischen IPSec-Tunneln

Asymmetrisches Routing zwischen IPSec-Tunneln

27846
Created On 07/17/20 22:28 PM - Last Modified 03/26/21 18:30 PM


Symptom


  • In asymmetrischen Umgebungen, in denen der Verkehr einen Tunnel herausleiten kann, aber durch einen anderen Tunnel zurückkehrt, firewall sinkt der Verkehr.
  • Die Problemumgehung für asymmetrisches Routing behebt das Problem nicht.
  • Die globalen Leistungsindikatoren können auch auf einen Sitzungsinstallationsfehler/Hash-Einfügefehler für den gefilterten Datenverkehr hinweisen.
  • In diesem Fall kehrt der Server-zu-Client-Datenverkehr (s2c) durch einen anderen Tunnel zurück.



 

Environment


  • Dual IPsec-Tunnelumgebungen
  • Alle Versionen von PAN-OS
  • IPsec auf Palo Alto NGFW hardware und VM- Serie
  • Asymmetrische Routingumgebungen

Cause


Dies wird durch einen Hashing-Fehler verursacht. Die globalen Leistungsindikatoren können auf einen Sitzungsinstallationsfehler/Hasheinfügefehler für den gefilterten Datenverkehr hinweisen. In diesem Fall kehrt der Server-zu-Client-Datenverkehr (s2c) durch einen anderen Tunnel zurück.


 
Global counters:
Elapsed time since last sampling: 12.70  seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
session_allocated                          2        0 info      session   resource  Sessions allocated
session_freed                              1        0 info      session   resource  Sessions freed
session_installed                          1        0 info      session   resource  Sessions installed
session_install_error                      1        0 warn      session   pktproc   Sessions installation error
session_install_error_s2c                  1        0 warn      session   pktproc   Sessions installation error s2c
session_hash_insert_duplicate              1        0 warn      session   pktproc   Session setup: hash insert failure due to duplicate entry

 

Resolution


Um dieses Problem zu beheben, platzieren Sie beide Tunnelschnittstellen in derselben Sicherheitszone.
 
Global counters:
Elapsed time since last sampling: 12.659 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   1        0 info      packet    pktproc   Packets received
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
pkt_sent_host                              1        0 info      packet    pktproc   Packets successfully transmitted to host interface
session_allocated                         13        1 info      session   resource  Sessions allocated
session_freed                              4        0 info      session   resource  Sessions freed
session_installed                         13        1 info      session   resource  Sessions installed
flow_fwd_mtu_exceeded                     10        0 info      flow      forward   Packets lengths exceeded MTU
flow_ipfrag_frag                          20        1 info      flow      ipfrag    IP fragments transmitted
flow_host_pkt_xmt                        393       31 info      flow      mgmt      Packets transmitted to control plane

 

Additional Information


  • Das Ideal ist es, alle asymmetrischen Routingprobleme zu beheben oder symmetrische Rückgabe mit a PBF policy -- für eingehenden Tunnelverkehr zu erzwingen.
  • Wenn keine dieser Optionen wünschenswert ist, wird empfohlen, beide Tunnel in derselben Sicherheitszone zu platzieren.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuECAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language