Wie die Palo Alto Network Firewall mit Paketen umgeht, die die MTU ÜberSchreiten

Wie die Palo Alto Network Firewall mit Paketen umgeht, die die MTU ÜberSchreiten

47591
Created On 09/25/18 18:50 PM - Last Modified 06/09/23 02:58 AM


Resolution


Details

Wenn ein Paket größer als die konfigurierte MTU (maximale ÜbertragungsEinheit) empfangen wird und die DF-IP-Option (Don 'T Fragment) gesetzt ist, gibt die Firewall eine ICMP-"Frag-benötigte" Meldung zurück und teilt dem Absender mit, dass eine kleinere MTU benötigt wird. Weitere Informationen finden Sie in Scenario A, wie die Palo Alto Networks Firewall den fragmentierten Traffic verwaltet

Der TCP/IP-Stack des Absenders sollte in der Lage sein, mit kleineren Paketen zu reagieren. AllerDings blockieren bestimmte Geräte diese ICMP-Nachrichten, was dazu führt, dass der Absender das überdimensionale Paket zurücksendet.

Um diese Situation in einem IPSEC-VPN-Tunnel zu vermeiden, wechseln Sie die MTU/MSS (maximale Segment Größe) auf den Netzwerkgeräten, die den Tunnel beenden. Wenn ein Paket durch einen IPSec-Tunnel geht, der auf einer Palo Alto Networks-Firewall endet, ändert die Firewall automatisch den MSS-Wert für den TCP-Handshake, um eine solche Situation zu lindern.

Wenn ein dynamisches Routing-Protokoll, wie RIP oder OSPF, auf der Firewall verwendet wird, überprüfen Sie, ob die verwendete MTU nicht kleiner ist als die MTU, die auf der Schnittstelle mit folgendem Befehl konfiguriert ist:

> Routing-FIB anzeigen


totaler Virtual-Router angezeigt: 1

-------------------------------------------------------------------------------
Virtual-Router-Name: VR1
Interfaces: Ethernet1/3 Ethernet1/4 Tunnel. 1

Strecken Tabelle:
Fahnen: u-up, h-Host, g-Gateway

-------------------------------------------------------------------------------
Maximum an FIB-Einträgen für das Gerät: 1250
Anzahl der FIB-Einträge für das Gerät: 6
maximal dieser Einträge für diese FIB: 1250
Anzahl der FIB-ENTR IES für diese FIB: 6
Anzahl der gezeigten FIB-Einträge: 6
-------------------------------------------------------------------------------
ID-Destination nexthop-Flags-Schnittstelle MTU
---------------- ---------------------------------------------------------------
4 0.0.0.0/0 10.30.14.254 UG Ethernet1/3 1500
3 10.30.14.0/24 0.0.0.0 u Ethernet1/3 1500
2 10.30.14.145/32 0.0.0.0            UH Ethernet1/3 1500

Besitzer: Panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClQzCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language