Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo el Palo Alto Networks Firewall maneja tráfico fragmentado - Knowledge Base - Palo Alto Networks

Cómo el Palo Alto Networks Firewall maneja tráfico fragmentado

94232
Created On 09/25/18 19:24 PM - Last Modified 11/20/24 21:57 PM


Resolution


Resumen

Este documento explica cómo Palo Alto Networks firewalls administración el tráfico fragmentado en tres escenarios diferentes.

Basic.jpg

Escenario A

Host A envía un paquete de 1500 bytes IP al Host B.

 

Interfaz deMTU
e1500
eth1/11500
ethB1500
eth1/21400

 

El firewall de Palo Alto Networks tiene que fragmentar el tráfico recibido en interfaz 1/1 antes de egressing de interfaz de 1/2.

 

Si el bit DF está configurado en cabecera IP, el dispositivo Palo Alto Networks no está fragmentando el tráfico, lo descarta y envía ICMP: fragmentación necesaria para el remitente con la MTU esperada.

Pantalla de tiro 2014-08-11 en 08.45.28.png

Contador global, flow_fwd_ip_df, si el bit DF se establece en el encabezado IP:

flow_fwd_ip_df 1 gota 0 flujo reenviar paquetes caídos: MTU excedida pero DF poco presente

 

Si la broca DF no está establecida en el encabezado IP, el cortafuegos fragmenta el tráfico de acuerdo con el MTU de la interfaz de salida y hacia delante el tráfico de fragmentos a eth1/2.

Lo siguiente aparece en los contadores globales:

longitudes de paquetes hacia adelantados flow_fwd_mtu_exceeded 1 0 información flujo superaron la MTU

flow_ipfrag_frag 2 0 información flujo ipfrag IP fragmentos de transmisión

 

Escenario B

Host A envía un paquete de 1500 bytes IP al Host B.

Interfaz deMTU
e1400
eth1/11500
ethB1500
eth1/21500

 

Host A debe fragmentar el paquete IP para que coincida con su e interfaz MTU.

Los paquetes fragmentados llegará el eth1/1 del Palo Alto Networks Firewall.

Tráfico fragmentado que montarla primero para la inspección, antes de ser enviada a la salida de la interfaz eth1/2 según salida MTU.  Montaje se realiza estrictamente para la inspección de contenido, no para el reenvío de tráfico.  Tenga en cuenta que los fragmentos se transmitirá hacia fuera en orden, no necesariamente el orden en que fueron recibidas.

Contadores globales:

flow_ipfrag_recv 4 1 información flujo ipfrag IP fragmentos de recibido

flow_ipfrag_free 2 0 información flujo ipfrag IP fragmentos de libertad después de la desfragmentación

desfragmentación flow_ipfrag_merge 2 0 información flujo ipfrag IP completado

flow_ipfrag_frag 4 1 información flujo ipfrag IP fragmentos de transmisión

 

 

Propietario: nbilly
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,260
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXXCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language