対称リターンのPBF ルールに一致する特定のトラフィックで通信が失敗する事象について

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Occasionally forwarding fails for specific traffic that matches a PBF rule with symmetric return
https://live.paloaltonetworks.com/t5/Management-Articles/Occasionally-forwarding-fails-for-specific-...

 

事象

"対称リターンの適用" オプションを有効にして、ネクスト ホップ アドレスを設定せずにポリシー ベース フォワーディング(PBF)を設定すると、転送が失敗する場合があります。

 

参考:

シンメトリック リターンの設定方法

 

 

診断

問題が発生しているときに、show pbf return-mac all コマンドを実行すると、return MAC エントリが上限に達していることが確認できます。このエントリが上限に達している場合、新たにreturn MAC エントリの追加ができず戻りのパケットがDropされる原因となります。

user@firewall> show pbf return-mac all

current pbf configuation version:   1
total return nexthop addresses :    0

index   pbf id  ver  hw address          ip address
                     return mac          egress port
--------------------------------------------------------------------------------

maximum of ipv4 return mac entries supported :     1000
total ipv4 return mac entries in table :           1000
total ipv4 return mac entries shown :              1000
status: s - static, c - complete, e - expiring, i - incomplete

pbf rule        id   ip address      hw address        port         status   ttl
--------------------------------------------------------------------------------

 

注:このARP テーブルがサポートするエントリの最大数は、ファイアウォール モデルによって上限値が設定されており、この値はユーザー側で設定できません。 お使いのモデルでの上限値を確認するには、CLI コマンド: show pbf return-mac all を使用します。

 

 

解決方法

この問題は、対称リターンが有効になっているPBFルールに「ネクスト ホップ アドレス」が設定されていない場合にのみ発生します。したがって、ネクスト ホップ アドレス リストに有効なピア IP アドレスを設定して、問題を回避してください。

Add a Next Hop AddressAdd a Next Hop Address

ネクスト ホップ アドレスを設定すると、適切なリターン MAC アドレスが対称リターンのために学習されます。

>show pbf return-mac all

maximum of ipv4 return mac entries supported : 16000
total ipv4 return mac entries in table : 12800
total ipv4 return mac entries shown : 12800
status: s - static, c - complete, e - expiring, i - incomplete
pbf rule id ip address hw address port status ttl
--------------------------------------------------------------------------------
symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737
symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746
symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743
symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742
symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741
symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745
symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746 
 

 

著者: tsakurai