どのようにパロアルトネットワークファイアウォールは、MTU を超えるパケットを処理する

詳細

構成された mtu (最大転送単位) より大きいパケットが受信され、DF (not フラグメント) IP オプションが設定されている場合、ファイアウォールは ICMP の "断片に必要な" メッセージを返し、小さい mtu が必要であることを送信者に通知します。詳細については、「 パロアルトネットワークファイアウォールが断片化されたトラフィックを管理する方法」のシナリオ A を参照してください。

送信者の tcp/ip スタックは、小さいパケットで応答できる必要があります。ただし、特定のデバイスは、これらの ICMP メッセージをブロックし、送信者が特大のパケットを再送する原因となります。

IPSEC VPN トンネルでこのような状況を回避するには、トンネルを終了するネットワークデバイスの MTU/MSS (最大セグメントサイズ) を変更します。パケットが、パロアルトネットワークファイアウォールで終了する IPSec トンネルを通過すると、ファイアウォールは TCP ハンドシェイクの MSS 値を自動的に変更して、このような状況を緩和します。

ファイアウォールで RIP や OSPF などの動的ルーティングプロトコルが使用されている場合は、その mtu が、インターフェイスで構成されている mtu よりも小さくないことを次のコマンドで確認します。

> ルーティングを表示する fib

合計仮想ルータが表示されます: 1

-------------------------------------------------------------------------------
仮想ルーター名: VR1
インターフェイス: ethernet1/3 ethernet1/4 トンネル 1

ルートテーブル:
フラグ: u アップ、h-ホスト、g-ゲートウェイ

-------------------------------------------------------------------------------
デバイスの fib エントリの最大値: 1250
デバイスの fib エントリ数: 6
この fib のエントリの最大値: 1250
fib entr の数この fib のための ies:
表示される fib のエントリの6つの数: 6
-------------------------------------------------------------------------------
id 送信先 nexthop フラグインターフェイス mtu
-------------------------------------------------------------------------------
4 0.0.0.0/0 10.30.14.254 ug ethernet1/3 1500
3 10.30.14.0/24 0.0.0.0 u ethernet1/3 1500
2 10.30.14.145/32 0.0.0.0           uh ethernet1/3 1500

所有者: panagent