Comment le pare-feu de réseau de Palo Alto manipule des paquets qui dépassent le MTU
Resolution
Détails
Si un paquet plus grand que le MTU configuré (unité de transmission maximale) est reçu et que l'option IP DF (ne pas fragmenter) est définie, le pare-feu retourne un message ICMP «Frag-needed», en notifiant à l'expéditeur qu'une MTU plus petite est nécessaire. Pour plus d'informations, voir le scénario A dans la façon dont le pare-feu de Palo Alto Networks gère le trafic fragmenté
La pile TCP/IP de l'expéditeur doit être capable de répondre avec des paquets plus petits. Toutefois, certains périphériques bloquent ces messages ICMP, ce qui entraîne l'expéditeur à renvoyer le paquet surdimensionné.
Pour éviter cette situation dans un tunnel VPN IPSec, changez le MTU/MSS (taille de segment maximale) sur les périphériques réseau qui terminent le tunnel. Lorsqu'un paquet passe par un tunnel IPSec qui se termine sur un pare-feu Palo Alto Networks, le pare-feu modifie automatiquement la valeur MSS pour la poignée de main TCP pour atténuer une telle situation.
Si un protocole de routage dynamique, tel que RIP ou OSPF, est employé sur le pare-feu, vérifiez que le MTU utilisé n'est pas plus petit que le MTU configuré sur l'interface avec la commande suivante:
> afficher le routage FIB
Total-routeur virtuel montré: 1
-------------------------------------------------------------------------------
nom du routeur virtuel: VR1
interfaces: ethernet1/3 ethernet1/4 tunnel. 1
table d'itinéraire:
drapeaux: u-up, h-Host, g-Gateway
-------------------------------------------------------------------------------
maximum d'entrées FIB pour l'appareil: 1250
nombre d'entrées FIB pour l'appareil: 6
maximum de ces entrées pour ce FIB: 1250
nombre de FIB entr IES pour ce FIB: 6
nombre d'entrées FIB montré: 6
-------------------------------------------------------------------------------
ID destination nexthop Flags interface MTU
---------------- ---------------------------------------------------------------
4 0.0.0.0/0 10.30.14.254 UG ethernet1/3 1500
3 10.30.14.0/24 0.0.0.0 u ethernet1/3 1500
2 10.30.14.145/32 0.0.0.0 euh ethernet1/3 1500
propriétaire : panagent