対称リターンのPBF ルールに一致する特定のトラフィックで通信が失敗する事象について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Occasionally forwarding fails for specific traffic that matches a PBF rule with symmetric return
https://live.paloaltonetworks.com/t5/Management-Articles/Occasionally-forwarding-fails-for-specific-...

 

事象

"対称リターンの適用" オプションを有効にして、ネクスト ホップ アドレスを設定せずにポリシー ベース フォワーディング(PBF)を設定すると、転送が失敗する場合があります。

 

参考:

シンメトリック リターンの設定方法

 

 

診断

問題が発生しているときに、show pbf return-mac all コマンドを実行すると、return MAC エントリが上限に達していることが確認できます。このエントリが上限に達している場合、新たにreturn MAC エントリの追加ができず戻りのパケットがDropされる原因となります。

user@firewall> show pbf return-mac all

current pbf configuation version:   1
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1000
total ipv4 return mac entries in table :           1000
total ipv4 return mac entries shown :              1000
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

 

注:このARP テーブルがサポートするエントリの最大数は、ファイアウォール モデルによって上限値が設定されており、この値はユーザー側で設定できません。 お使いのモデルでの上限値を確認するには、CLI コマンド: show pbf return-mac all を使用します。

 

 

解決方法

この問題は、対称リターンが有効になっているPBFルールに「ネクスト ホップ アドレス」が設定されていない場合にのみ発生します。したがって、ネクスト ホップ アドレス リストに有効なピア IP アドレスを設定して、問題を回避してください。

NextHopAddress.jpgAdd a Next Hop Address

ネクスト ホップ アドレスを設定すると、適切なリターン MAC アドレスが対称リターンのために学習されます。

>show pbf return-mac all

maximum of ipv4 return mac entries supported : 16000
total ipv4 return mac entries in table : 12800
total ipv4 return mac entries shown : 12800
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737
symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746
symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745
symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746 
 

 

著者: tsakurai