※この記事は以下の記事の日本語訳です。
How to Configure Symmetric Return
概要
このドキュメントは PAN-OS 5.0 でのシンメトリック リターンの簡易的な設定方法について記載します。
詳細
この機能は S2C フローの戻りパケットを最初の SYN を発信した MAC アドレスに向かって送出します。
これにより戻りのトラフィックはセッションが作られたインターフェースを使うので非対称ルーティングやデュアル ISP の環境には有効的です。
例:トポロジー
上記の図では、クライアントの 5.1.1.1 からインターナルサーバー 192.168.83.2 へは二つのパブリック IP 1.1.1.83 と 2.1.1.83 を使って通信できます。
この両方の IP は 宛先 NAT でインターナルサーバー IPの 192.168.83.2 へ変換されます。
ISP1 の Ethernet 1/1 にインターナルサーバー向けの通信が来た場合、シンメトリックリターンが設定されていると下記の図のように戻りトラフィックはデフォルトルートの Etherenet 1/2 ではなく Ethernet 1/1 を使います。
NAT
- INCOMING_NAT-ISP-1 と INCOMING_NAT-ISP-2 のルールはインターナルサーバー IP の 192.168.83.2 の変換用です。
- ISP1NAT と ISP2NAT は ISP1 と ISP2 へのアウトバウンドトラフィック用です。
ネットワーク
ルーティング
- firewall上には ISP2 を宛先とするデフォルトルートが一つあります。
ポリシーベースフォワーディング (PBF)
- シンメトリックリターンの作成はポリシーベースフォワーディングの設定内でおこないます。
- サーバー宛トラフィック用の PBF ルールを作成します。
- シンメトリックリターン機能はインターフェースに基づくもののため Source Type で Interface を選択します。
追記:Zoneでの設定はできません。なお、Tunnel インターフェースも MAC アドレスが無いため使用できません。
- Destination IP address をサーバーのインターナル IP アドレスに設定します。
- 送信先ネットワークが直接接続されてなければ Next Hop の IP アドレスに設定します。
- egress interface はインターナルサーバーが同じセグメントにある為 Ethernet 1/6 に設定します。
- サーバーが直接接続されていなければ、サーバーのあるネットワークへの Next Hop の IP アドレスを設定します。
- Enforce Symmetric return を有効にし、Next Hop Address を ISP1 (1.1.1.84) に設定します。
- シンメトリックリターンが正しく動作していることを確認する場合は次のコマンドを実行します:
> show session id 6149
Session 6149
c2s flow:
source: 5.1.1.1 [DMZ]
dst: 1.1.1.83
proto: 1
sport: 13812 dport: 3
state: INIT type: FLOW
src user: unknown
dst user: unknown
pbf rule: ISP1-PBF 1
s2c flow:
source: 192.168.83.2 [L3-Trust]
dst: 5.1.1.1
proto: 1
sport: 3 dport: 13812
state: INIT type: FLOW
src user: unknown
dst user: unknown
pbf rule: ISP1-PBF 1
symmetric return mac: 00:1b:17:05:8c:10
start time : Tue Jan 8 16:23:55 2013
timeout : 6 sec
total byte count(c2s) : 98
total byte count(s2c) : 98
layer7 packet count(c2s) : 1
layer7 packet count(s2c) : 1
vsys : vsys1
application : ping
rule : all
session to be logged at end : True
session in session ager : False
session synced from HA peer : False
address/port translation : source + destination
nat-rule : INCOMING_NAT-ISP-1(vsys1)
layer7 processing : enabled
URL filtering enabled : False
作成された PBF ルールにマッチしていることがわかります。
(訳注: シンメトリックリターンが設定された PBF ルールにマッチしていた場合、S2C flow に宛先 MAC が表示されます。)
下記のコマンド出力から戻りのトラフィックがどこに送られているのか調べることができます。
> show pbf return-mac all
current pbf configuation version: 0
total return nexthop addresses : 8
index pbf id ver hw address ip address
return mac egress port
--------------------------------------------------
7 1 2 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
2 1 0 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
6 1 1 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
8 1 2 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
5 1 1 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
9 1 3 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
1 1 0 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
10 1 3 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
maximum of ipv4 return mac entries supported : 500
total ipv4 return mac entries in table : 2
total ipv4 return mac entries shown : 2
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------
ISP1-PBF 1 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
ISP1-PBF 1 5.1.1.1 00:1b:17:05:8c:10 ethernet1/1 c 1800
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/1
egress interface : ethernet1/6
session QoS rule : N/A (class 4)
著者:sdurga
