IPSec 隧道之间的非对称路由

IPSec 隧道之间的非对称路由

27810
Created On 07/17/20 22:28 PM - Last Modified 03/26/21 18:30 PM


Symptom


  • 在交通可能经过一条隧道但通过另一条隧道返回的不对称环境中, firewall 交通就会下降。
  • 非对称路由的解决方法无法解决问题。
  • 全局计数器可能还指示筛选的流量的会话安装错误/哈希插入错误。
  • 在这种情况下,服务器到客户端 (s2c) 流量通过不同的隧道返回。



 

Environment


  • 双 IPsec 隧道环境
  • 所有版本 PAN-OS
  • 帕洛阿尔托 NGFW hardware 和 VM- 系列的 Ipsec
  • 非对称路由环境

Cause


这是由哈希故障引起的。 全局计数器可能指示筛选的流量的会话安装错误/哈希插入失败。 在这种情况下,服务器到客户端 (s2c) 流量通过不同的隧道返回。


 
Global counters:
Elapsed time since last sampling: 12.70  seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
session_allocated                          2        0 info      session   resource  Sessions allocated
session_freed                              1        0 info      session   resource  Sessions freed
session_installed                          1        0 info      session   resource  Sessions installed
session_install_error                      1        0 warn      session   pktproc   Sessions installation error
session_install_error_s2c                  1        0 warn      session   pktproc   Sessions installation error s2c
session_hash_insert_duplicate              1        0 warn      session   pktproc   Session setup: hash insert failure due to duplicate entry

 

Resolution


若要解决此问题,请将两个隧道接口放在同一安全区域中。
 
Global counters:
Elapsed time since last sampling: 12.659 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
pkt_recv                                   1        0 info      packet    pktproc   Packets received
pkt_sent                                   1        0 info      packet    pktproc   Packets transmitted
pkt_sent_host                              1        0 info      packet    pktproc   Packets successfully transmitted to host interface
session_allocated                         13        1 info      session   resource  Sessions allocated
session_freed                              4        0 info      session   resource  Sessions freed
session_installed                         13        1 info      session   resource  Sessions installed
flow_fwd_mtu_exceeded                     10        0 info      flow      forward   Packets lengths exceeded MTU
flow_ipfrag_frag                          20        1 info      flow      ipfrag    IP fragments transmitted
flow_host_pkt_xmt                        393       31 info      flow      mgmt      Packets transmitted to control plane

 

Additional Information


  • 理想情况是解决任何不对称的路由问题,或强制实施对称返回 PBF policy (用于入站隧道交通)。
  • 如果这些都不是理想的选项,则建议将两个隧道放在同一安全区域中。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UuECAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language