シンメトリック リターンの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure Symmetric Return

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Symmetric-Return/ta-p/5...

 

 

概要

このドキュメントは PAN-OS 5.0 でのシンメトリック リターンの簡易的な設定方法について記載します。

 

詳細

この機能は S2C フローの戻りパケットを最初の SYN を発信した MAC アドレスに向かって送出します。
これにより戻りのトラフィックはセッションが作られたインターフェースを使うので非対称ルーティングやデュアル ISP の環境には有効的です。

 

例:トポロジー

ss1.png

上記の図では、クライアントの 5.1.1.1 からインターナルサーバー 192.168.83.2 へは二つのパブリック IP 1.1.1.83 と 2.1.1.83 を使って通信できます。
この両方の IP は 宛先 NAT でインターナルサーバー IPの 192.168.83.2 へ変換されます。
ISP1 の Ethernet 1/1 にインターナルサーバー向けの通信が来た場合、シンメトリックリターンが設定されていると下記の図のように戻りトラフィックはデフォルトルートの Etherenet 1/2 ではなく Ethernet 1/1 を使います。

 

ss2.png

NAT

ss3.png

  • INCOMING_NAT-ISP-1 と INCOMING_NAT-ISP-2 のルールはインターナルサーバー IP の 192.168.83.2 の変換用です。
  • ISP1NAT と ISP2NAT は ISP1 と ISP2 へのアウトバウンドトラフィック用です。

 

ネットワーク

ss4.png

 

ルーティング

ss5.png

  • firewall上には ISP2 を宛先とするデフォルトルートが一つあります。

 

ポリシーベースフォワーディング (PBF)

  • シンメトリックリターンの作成はポリシーベースフォワーディングの設定内でおこないます。
  • サーバー宛トラフィック用の PBF ルールを作成します。

ss6.png

  • シンメトリックリターン機能はインターフェースに基づくもののため Source Type で Interface を選択します。

 

追記:Zoneでの設定はできません。なお、Tunnel インターフェースも MAC アドレスが無いため使用できません。

 

ss7.png

  • Destination IP address をサーバーのインターナル IP アドレスに設定します。
  • 送信先ネットワークが直接接続されてなければ Next Hop の IP アドレスに設定します。

ss8.png

  • egress interface はインターナルサーバーが同じセグメントにある為 Ethernet 1/6 に設定します。
  • サーバーが直接接続されていなければ、サーバーのあるネットワークへの Next Hop の IP アドレスを設定します。
  • Enforce Symmetric return を有効にし、Next Hop Address を ISP1 (1.1.1.84) に設定します。
  • シンメトリックリターンが正しく動作していることを確認する場合は次のコマンドを実行します:

    > show session id 6149

    Session            6149

     

            c2s flow:

                    source:      5.1.1.1 [DMZ]

                    dst:         1.1.1.83

                    proto:       1

                    sport:       13812           dport:      3

                    state:       INIT            type:       FLOW

                    src user:    unknown

                    dst user:    unknown

                    pbf rule:    ISP1-PBF 1

     

            s2c flow:

                    source:      192.168.83.2 [L3-Trust]

                    dst:         5.1.1.1

                    proto:       1

                    sport:       3               dport:      13812

                    state:       INIT            type:       FLOW

                    src user:    unknown

                    dst user:    unknown

                    pbf rule:    ISP1-PBF 1

                    symmetric return mac: 00:1b:17:05:8c:10

     

            start time                    : Tue Jan  8 16:23:55 2013

            timeout                       : 6 sec

            total byte count(c2s)         : 98

            total byte count(s2c)         : 98

            layer7 packet count(c2s)      : 1

            layer7 packet count(s2c)      : 1

            vsys                          : vsys1

            application                   : ping

            rule                          : all

            session to be logged at end   : True

            session in session ager       : False

            session synced from HA peer   : False

            address/port translation      : source + destination

            nat-rule                      : INCOMING_NAT-ISP-1(vsys1)

            layer7 processing             : enabled

            URL filtering enabled         : False

     

      

作成された PBF ルールにマッチしていることがわかります。

 

(訳注: シンメトリックリターンが設定された PBF ルールにマッチしていた場合、S2C flow に宛先 MAC が表示されます。)


下記のコマンド出力から戻りのトラフィックがどこに送られているのか調べることができます。

 

> show pbf return-mac all

 

current pbf configuation version:   0

total return nexthop addresses :    8

 

index   pbf id  ver  hw address          ip address

                     return mac          egress port

--------------------------------------------------------------------------------

7       1       2    00:1b:17:05:8c:10   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

2       1       0    00:00:00:00:00:00   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

6       1       1    00:1b:17:05:8c:10   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

8       1       2    00:00:00:00:00:00   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

5       1       1    00:00:00:00:00:00   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

9       1       3    00:1b:17:05:8c:10   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

1       1       0    00:1b:17:05:8c:10   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

10      1       3    00:00:00:00:00:00   1.1.1.84

                     00:1b:17:05:8c:10   ethernet1/1

 

maximum of ipv4 return mac entries supported :     500

total ipv4 return mac entries in table :           2

total ipv4 return mac entries shown :              2

status: s - static, c - complete, e - expiring, i - incomplete

 

pbf rule        id   ip address      hw address        port         status   ttl

--------------------------------------------------------------------------------

ISP1-PBF        1    1.1.1.84        00:1b:17:05:8c:10 ethernet1/1    s      1603

ISP1-PBF        1    5.1.1.1         00:1b:17:05:8c:10 ethernet1/1    c      1800

 

        session via syn-cookies       : False

        session terminated on host    : False

        session traverses tunnel      : False

        captive portal session        : False

        ingress interface             : ethernet1/1

        egress interface              : ethernet1/6

        session QoS rule              : N/A (class 4)

 

著者:sdurga

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2016 12:19 AM
更新者: