Routage asymétrique entre les tunnels IPSec

Routage asymétrique entre les tunnels IPSec

27706
Created On 07/17/20 22:28 PM - Last Modified 03/26/21 18:30 PM


Symptom


  • Dans les environnements asymétriques où le trafic peut acheminer un tunnel mais revenir par un autre tunnel, firewall le trafic baisse.
  • La solution de contournement vers le routage asymétrique ne résout pas le problème.
  • Les compteurs mondiaux peuvent également indiquer une erreur d’installation de session/erreur d’insertion de hachage pour le trafic filtré.
  • Dans ce cas, le trafic serveur-client (s2c) revient par un tunnel différent.



 

Environment


  • Environnements tunnel IPsec doubles
  • Toutes les versions de PAN-OS
  • IPsec sur Palo Alto NGFW hardware et séries VM-
  • Environnements de routage asymétriques

Cause


Ceci est causé par une défaillance de hachage. Les compteurs mondiaux peuvent indiquer une erreur d’installation de session/panne d’insertion de hachage pour le trafic filtré. Dans ce cas, le trafic serveur-client (s2c) revient par un tunnel différent.


 
Global counters:
Elapsed time since last sampling: 12.70  seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
session_allocated                          2        0 info      session   resource  Sessions allocated
session_freed                              1        0 info      session   resource  Sessions freed
session_installed                          1        0 info      session   resource  Sessions installed
session_install_error                      1        0 warn      session   pktproc   Sessions installation error
session_install_error_s2c                  1        0 warn      session   pktproc   Sessions installation error s2c
session_hash_insert_duplicate              1        0 warn      session   pktproc   Session setup: hash insert failure due to duplicate entry

 

Resolution


Pour résoudre ce problème, placez les deux interfaces de tunnel dans la même zone de sécurité.
 
Global counters:
Elapsed time since last sampling: 12.659 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   1        0 info      packet    pktproc   Packets received
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
pkt_sent_host                              1        0 info      packet    pktproc   Packets successfully transmitted to host interface
session_allocated                         13        1 info      session   resource  Sessions allocated
session_freed                              4        0 info      session   resource  Sessions freed
session_installed                         13        1 info      session   resource  Sessions installed
flow_fwd_mtu_exceeded                     10        0 info      flow      forward   Packets lengths exceeded MTU
flow_ipfrag_frag                          20        1 info      flow      ipfrag    IP fragments transmitted
flow_host_pkt_xmt                        393       31 info      flow      mgmt      Packets transmitted to control plane

 

Additional Information


  • L’idéal est de résoudre tous les problèmes de routage asymétriques ou d’appliquer le retour symétrique PBF policy avec un - pour le trafic tunnel entrant.
  • Si aucune de ces options n’est souhaitable, il est recommandé de placer les deux tunnels dans la même zone de sécurité.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuECAU&lang=fr%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language