パロ ・ アルトのネットワーク ファイアウォールが断片化されたトラフィックを管理する方法
Resolution
概要
このドキュメントでは、パロ ・ アルトのネットワーク ファイアウォールが 3 つの異なるシナリオで断片化されたトラフィックを管理する方法について説明します。
シナリオ A
ホスト A がホスト B に 1500 バイトの IP パケットを送信します。
| インターフェース | MTU |
|---|---|
| ethA | 1500 |
| eth1/1 | 1500 |
| ethB | 1500 |
| eth1/2 | 1400 |
パロ ・ アルトのネットワーク ファイアウォールは、インタ フェース 1/2 egressing 前に 1/1 のインターフェイスで受信したトラフィックをフラグメントがあります。
DF ビットが IP ヘッダに設定されている場合、パロアルトネットワークデバイスはトラフィックを断片化せず、それを破棄して ICMP:要求された MTU を持つ送信者に必要な断片化を送信します。
グローバルカウンター、flow_fwd_ip_df、df ビットが ip ヘッダーに設定 されている場合:
flow_fwd_ip_df 1 0 ドロップ フロー転送パケットをドロップ: 超えた MTU が DF ビット
DF ビットがIP ヘッダに設定されていない場合、ファイアウォールは出力インタフェースの MTU に従ってトラフィックをフラグメント化し、断片化したトラフィックを eth1/2 に転送します。
次のグローバル カウンターで表示されます。
flow_fwd_mtu_exceeded 1 0 情報フロー転送パケット長を超える MTU
flow_ipfrag_frag 2 0 情報の流れ分かるので IP フラグメントの送信
シナリオ B
ホスト A がホスト B に 1500 バイトの IP パケットを送信します。
| インターフェース | MTU |
|---|---|
| ethA | 1400 |
| eth1/1 | 1500 |
| ethB | 1500 |
| eth1/2 | 1500 |
ホスト A は、そのインタ フェース ethA MTU と一致する IP パケットのフラグメントがあります。
断片化されたパケットは、パロ ・ アルトのネットワーク ファイアウォールの eth1/1 に到着します。
出力インターフェイス eth1/出口 MTU によると 2 に転送される前に、検査のためまず断片化されたトラフィックを再構築されます。 再構築は、トラフィックの転送、コンテンツの検査のため厳密に実行されます。 順番に受信された順序は必ずしも、フラグメントが送信されることに注意してください。
グローバルのカウンター:
flow_ipfrag_recv 4 1 情報流れ分かるので IP フラグメントを受信
flow_ipfrag_free 2 0 情報流れ分かるので IP フラグメント最適化後に解放
flow_ipfrag_merge 2 0 情報流れ分かるので IP デフラグメンテーション完了
flow_ipfrag_frag 4 1 情報の流れ分かるので IP フラグメントの送信
所有者: nbilly