Cómo el Firewall de red palo alto maneja paquetes que exceden el MTU

Cómo el Firewall de red palo alto maneja paquetes que exceden el MTU

47605
Created On 09/25/18 18:50 PM - Last Modified 06/09/23 02:58 AM


Resolution


Detalles

Si se recibe un paquete más grande que el MTU configurado (unidad de transmisión máxima) y se establece la opción de IP DF (no fragmentar), el cortafuegos devuelve un mensaje ICMP "necesario para fragmentos", notificando al remitente que se necesita un MTU más pequeño. Para obtener más información, vea el escenario a en cómo el cortafuegos de Palo Alto Networks administra el tráfico fragmentado

La pila TCP/IP del remitente debe ser capaz de responder con paquetes más pequeños. Sin embargo, ciertos dispositivos bloquean estos mensajes ICMP, causando que el remitente reenvíe el paquete de gran tamaño.

Para evitar esta situación en un túnel VPN IPSec, cambie el MTU/MSS (tamaño máximo del segmento) en los dispositivos de red que terminan el túnel. Cuando un paquete pasa a través de un túnel IPSec que termina en un cortafuegos de Palo Alto Networks, el cortafuegos cambia automáticamente el valor MSS del Protocolo de enlace TCP para aliviar dicha situación.

Si se emplea un protocolo de enrutamiento dinámico, como RIP o OSPF, en el cortafuegos, compruebe que el MTU utilizado no es menor que el MTU configurado en la interfaz con el siguiente comando:

> Mostrar encaminamiento FIB


total virtual-router mostrado: 1

-------------------------------------------------------------------------------
nombre del virtual-router: VR1
interfaces: ethernet1/3 ethernet1/4 Tunnel. 1

tabla de rutas:
banderas: u-up, h-host, g-Gateway

-------------------------------------------------------------------------------
máximo de entradas FIB para el dispositivo: 1250
número de entradas FIB para el dispositivo: 6
máximo de estas entradas para esta FIB: 1250
número de FIB entr IES para esta FIB: 6
número de entradas FIB mostrado: 6
-------------------------------------------------------------------------------
ID Destination NextHop Flags interface MTU
---------------- ---------------------------------------------------------------
4 0.0.0.0/0 10.30.14.254 UG ethernet1/3 1500
3 10.30.14.0/24 0.0.0.0 u ethernet1/3 1500
2 10.30.14.145/32 0.0.0.0            UH ethernet1/3 1500

Propietario: panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClQzCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language