Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Wie gelingt die Palo Alto Networks Firewall fragmentierte Daten... - Knowledge Base - Palo Alto Networks

Wie gelingt die Palo Alto Networks Firewall fragmentierte Datenverkehr

94240
Created On 09/25/18 19:24 PM - Last Modified 11/20/24 21:57 PM


Resolution


Übersicht

Dieses Dokument erklärt, wie Palo Alto Networks Firewalls fragmentierte Datenverkehr in drei verschiedenen Szenarien verwalten.

Basic.jpg

Szenario A

Host A sendet eine 1500 Byte IP-Paket an Host B.

 

SchnittstelleMTU-WERT
ethA1500
eth1/11500
ethB1500
eth1/21400

 

Palo Alto Networks Firewall hat fragmentieren Verkehr auf Schnittstelle 1/1 vor egressing auf 1/2-Schnittstelle empfangen.

 

Wenn das DF-Bit in IP-Header gesetzt ist, zersplittert Palo Alto Networks-Gerät den Traffic nicht, es wirft es ab und sendet ICMP: Fragmentierung , die dem Absender mit erwarteter MTU Bedarf.

Screen Sie Shot 2014-08-11 am 08.45.28.png

Global Counter, flow_fwd_ip_df, Wenn das DF -Bit im IP-Header gesetzt ist :

Flow_fwd_ip_df 1 0 Tropfen fließen Pakete fiel weiterleiten: Überschrittene MTU aber DF etwas vorhanden

 

Wenn das DF -Bit nicht in IP-Header gesetzt ist, zersplittert die Firewall den Verkehr nach der MTU der Egress-Schnittstelle und leitet den fragmentierten Verkehr auf eth1/2 weiter.

Es erscheint folgende Anzeige in der globalen Zähler:

Flow_fwd_mtu_exceeded 1 0 Info vorwärts Pakete Fließlängen überschritten MTU

Flow_ipfrag_frag 2 0 Informationsfluss Ipfrag IP-Fragmente übertragen

 

Szenario B

Host A sendet eine 1500 Byte IP-Paket an Host B.

SchnittstelleMTU-WERT
ethA1400
eth1/11500
ethB1500
eth1/21500

 

Host A muss das IP-Paket zu entsprechen, seine Schnittstelle EthA MTU fragmentieren.

Die fragmentierte Pakete kommen auf eth1/1 von Palo Alto Networks Firewall.

Fragmentierte Datenverkehr wird zunächst für Inspektion, bevor er an Ausgang Schnittstelle eth1/2 nach Ausstieg MTU weitergeleitet wieder zusammengebaut werden.  Zusammenbau erfolgt streng zur Kontrolle von Inhalten, nicht für die Weiterleitung von Datenverkehr.  Beachten Sie, dass Fragmente, in Reihenfolge, nicht unbedingt die Reihenfolge übertragen werden werden, in der sie empfangen wurden.

Globale Zähler:

Flow_ipfrag_recv 4 1 Informationsfluss Ipfrag IP-Fragmente erhalten

Flow_ipfrag_free 2 0 Informationsfluss Ipfrag IP-Fragmente befreit nach der Defragmentierung

Flow_ipfrag_merge 2 0 Informationsfluss Ipfrag IP-Defragmentierung abgeschlossen

Flow_ipfrag_frag 4 1 Informationsfluss Ipfrag IP-Fragmente übertragen

 

 

Besitzer: Nbilly
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,260
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXXCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language