将防火墙升级到 11.0.0 后，在PBF规则中启用“强制对称返回”时，隧道流量会被丢弃。

• 当流量通过防火墙时，GP 用户无法访问互联网。
• 该问题不仅限于 GP 隧道，它可能发生在任何隧道流量中，包括IPSec和 GRE VPN。
• PBF规则配置为启用“强制对称返回”选项，下一跳为ISP IP 地址，接口选择为防火墙的外部接口。
• 从 GP 用户ping 8.8.8.8 失败，并显示“请求超时”
• 从下面的“显示会话ID”日志中可以看出， “s2c”流没有“对称返回 Mac” ，因此 s2c 流未安装。

admin@PaloAlto> show session id 7xx

Session             7xx

        c2s flow:
                source:      10.x.x.x [SSLVPN]
                dst:         8.8.8.8
                proto:       1
                sport:       1               dport:      104
                state:       INIT            type:       FLOW
                src user:    test
                dst user:    unknown
                pbf rule:    Test-pbf

        s2c flow:
                source:      8.8.8.8 [UNTRUST]
                dst:         10.x.x.x
                proto:       1
                sport:       104             dport:      1
                state:       INIT            type:       FLOW
                src user:    unknown
                dst user:    test
                pbf rule:    Test-pbf
                symmetric return mac: ***N/A***. >>>> No Symmetric Return MAC available
 ......(Output Omitted).......

• 防火墙通过增加全局计数器“flow_tunnel_encap_err”来丢弃返回流量：

admin@PaloAlto> show counter global filter delta yes packet-filter yes severity drop

Global counters:
Elapsed time since last sampling: 4.792 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------

flow_tunnel_encap_err                      1        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error

注意：要获取特定的丢弃计数器，“数据包捕获过滤器” 必须应用并启用。请参阅入门 - 数据包捕获。

• 从 cli 来看， “show pbf return-mac all”的输出没有条目。

admin@PaloAlto> show pbf return-mac all
current pbf configuation version:   2
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1500
total ipv4 return mac entries in table :           0
total ipv4 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

maximum of ipv6 return mac entries supported :     1500
total ipv6 return mac entries in table :           0
total ipv6 return mac entries shown :              0
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address                              hw address        status
--------------------------------------------------------------------------------

• Palo Alto 防火墙
• PAN OS 11.0.0
• PBF规则配置为启用强制对称返回。
• GP、 IPSec或 GRE VPN。

• 软件问题

1. 此问题已在 PAN-OS 11.0.2h1 和 11.0.3 中的PAN-220921下得到解决
2. 升级到上述编码器或更新版本将解决该问题。