IPSec トンネル間の非対称ルーティング

IPSec トンネル間の非対称ルーティング

27858
Created On 07/17/20 22:28 PM - Last Modified 03/26/21 18:30 PM


Symptom


  • トラフィックが 1 つのトンネルをルーティングしても別のトンネルを通過する非対称環境では、 firewall トラフィックがドロップされます。
  • 非対称ルーティングの回避策では、問題は解決されません。
  • グローバル カウンタは、フィルタ処理されたトラフィックに対するセッション インストール エラー/ハッシュ挿入エラーを示している場合もあります。
  • この場合、サーバーからクライアント (s2c) へのトラフィックは、別のトンネルを経由して戻ります。



 

Environment


  • デュアル IPsec トンネル環境
  • のすべてのバージョン PAN-OS
  • パロアルト NGFW hardware と VM- シリーズのIPsec
  • 非対称ルーティング環境

Cause


これは、ハッシュの失敗が原因です。 グローバル カウンタは、フィルタ処理されたトラフィックに対するセッション インストール エラー/ハッシュ挿入エラーを示している可能性があります。 この場合、サーバーからクライアント (s2c) へのトラフィックは、別のトンネルを経由して戻ります。


 
Global counters:
Elapsed time since last sampling: 12.70  seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
session_allocated                          2        0 info      session   resource  Sessions allocated
session_freed                              1        0 info      session   resource  Sessions freed
session_installed                          1        0 info      session   resource  Sessions installed
session_install_error                      1        0 warn      session   pktproc   Sessions installation error
session_install_error_s2c                  1        0 warn      session   pktproc   Sessions installation error s2c
session_hash_insert_duplicate              1        0 warn      session   pktproc   Session setup: hash insert failure due to duplicate entry

 

Resolution


この問題を解決するには、両方のトンネル インターフェイスを同じセキュリティ ゾーンに配置します。
 
Global counters:
Elapsed time since last sampling: 12.659 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   1        0 info      packet    pktproc   Packets received
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
pkt_sent_host                              1        0 info      packet    pktproc   Packets successfully transmitted to host interface
session_allocated                         13        1 info      session   resource  Sessions allocated
session_freed                              4        0 info      session   resource  Sessions freed
session_installed                         13        1 info      session   resource  Sessions installed
flow_fwd_mtu_exceeded                     10        0 info      flow      forward   Packets lengths exceeded MTU
flow_ipfrag_frag                          20        1 info      flow      ipfrag    IP fragments transmitted
flow_host_pkt_xmt                        393       31 info      flow      mgmt      Packets transmitted to control plane

 

Additional Information


  • 理想は、非対称ルーティングの問題に対処するか、受信トンネル トラフィックに対して -- を使用して対称リターン PBF policy を実施することです。
  • これらのオプションがいずれも望ましくない場合は、両方のトンネルを同じセキュリティ ゾーンに配置することをお勧めします。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuECAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language