※この記事は以下の記事の日本語訳です。
How to Configure Symmetric Return
このドキュメントは PAN-OS 5.0 でのシンメトリック リターンの簡易的な設定方法について記載します。
この機能は S2C フローの戻りパケットを最初の SYN を発信した MAC アドレスに向かって送出します。
これにより戻りのトラフィックはセッションが作られたインターフェースを使うので非対称ルーティングやデュアル ISP の環境には有効的です。
例:トポロジー
上記の図では、クライアントの 5.1.1.1 からインターナルサーバー 192.168.83.2 へは二つのパブリック IP 1.1.1.83 と 2.1.1.83 を使って通信できます。
この両方の IP は 宛先 NAT でインターナルサーバー IPの 192.168.83.2 へ変換されます。
ISP1 の Ethernet 1/1 にインターナルサーバー向けの通信が来た場合、シンメトリックリターンが設定されていると下記の図のように戻りトラフィックはデフォルトルートの Etherenet 1/2 ではなく Ethernet 1/1 を使います。
NAT
ネットワーク
ルーティング
ポリシーベースフォワーディング (PBF)
追記:Zoneでの設定はできません。なお、Tunnel インターフェースも MAC アドレスが無いため使用できません。
> show session id 6149
Session 6149
c2s flow:
source: 5.1.1.1 [DMZ]
dst: 1.1.1.83
proto: 1
sport: 13812 dport: 3
state: INIT type: FLOW
src user: unknown
dst user: unknown
pbf rule: ISP1-PBF 1
s2c flow:
source: 192.168.83.2 [L3-Trust]
dst: 5.1.1.1
proto: 1
sport: 3 dport: 13812
state: INIT type: FLOW
src user: unknown
dst user: unknown
pbf rule: ISP1-PBF 1
symmetric return mac: 00:1b:17:05:8c:10
start time : Tue Jan 8 16:23:55 2013
timeout : 6 sec
total byte count(c2s) : 98
total byte count(s2c) : 98
layer7 packet count(c2s) : 1
layer7 packet count(s2c) : 1
vsys : vsys1
application : ping
rule : all
session to be logged at end : True
session in session ager : False
session synced from HA peer : False
address/port translation : source + destination
nat-rule : INCOMING_NAT-ISP-1(vsys1)
layer7 processing : enabled
URL filtering enabled : False
作成された PBF ルールにマッチしていることがわかります。
(訳注: シンメトリックリターンが設定された PBF ルールにマッチしていた場合、S2C flow に宛先 MAC が表示されます。)
下記のコマンド出力から戻りのトラフィックがどこに送られているのか調べることができます。
> show pbf return-mac all
current pbf configuation version: 0
total return nexthop addresses : 8
index pbf id ver hw address ip address
return mac egress port
--------------------------------------------------
7 1 2 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
2 1 0 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
6 1 1 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
8 1 2 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
5 1 1 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
9 1 3 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
1 1 0 00:1b:17:05:8c:10 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
10 1 3 00:00:00:00:00:00 1.1.1.84
00:1b:17:05:8c:10 ethernet1/1
maximum of ipv4 return mac entries supported : 500
total ipv4 return mac entries in table : 2
total ipv4 return mac entries shown : 2
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------
ISP1-PBF 1 1.1.1.84 00:1b:17:05:8c:10 ethernet1/1 s 1603
ISP1-PBF 1 5.1.1.1 00:1b:17:05:8c:10 ethernet1/1 c 1800
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/1
egress interface : ethernet1/6
session QoS rule : N/A (class 4)
著者:sdurga