帕洛阿尔托网络防火墙如何管理分散的交通
Resolution
概述
本文档说明如何帕洛阿尔托网络防火墙管理分散的交通三种不同情况。
方案 A
主机 A 发送一个 1500 字节的 IP 数据包到主机 b。
| 接口 | MTU |
|---|---|
| 放 | 1500 |
| eth1/1 | 1500 |
| ethB | 1500 |
| eth1/2 | 1400 |
帕洛阿尔托网络防火墙不得不片段 1/1 接口上收到 egressing 接口 1/2 上的交通。
如果 DF 位是在 IP 标头中设置的, 帕洛阿尔托网络设备不会分割通信量, 它会丢弃它并发送 ICMP:需要使用预期 MTU 的发件人所需的碎片.
全局计数器, flow_fwd_ip_df,如果在 ip 标头中设置 了 df 位:
flow_fwd_ip_df 1 0 降流量转发丢弃的数据包: 超过的 MTU 但 DF 位本
如果未在 IP 标头中设置 DF 位, 则防火墙碎片将根据出口接口的 MTU 进行通信, 并将零碎的通信转发到 eth1/2.
以下内容出现在全局计数器:
flow_fwd_mtu_exceeded 1 0 信息流量转发数据包长度超过 MTU
传输的 flow_ipfrag_frag 2 0 信息流量 ipfrag IP 碎片
方案 B
主机 A 发送一个 1500 字节的 IP 数据包到主机 b。
| 接口 | MTU |
|---|---|
| 放 | 1400 |
| eth1/1 | 1500 |
| ethB | 1500 |
| eth1/2 | 1500 |
主机 A 不得不将 IP 数据包,以配合其接口放 MTU 分段。
零碎的数据包会准时到达 eth1/1 的帕洛阿尔托网络防火墙。
碎片化的通信量将接受检查,然后被转发到外出接口 eth1/2 根据疏散 MTU 首先重新组装。 重组是严格进行检查的内容,不是为交通货运代理。 请注意,碎片会在订单,不一定收到的订单传输出去。
全局计数器:
收到的 flow_ipfrag_recv 4 1 信息流量 ipfrag IP 碎片
在碎片整理之后释放的 flow_ipfrag_free 2 0 信息流量 ipfrag IP 碎片
flow_ipfrag_merge 2 0 信息流量 ipfrag IP 碎片整理完成
flow_ipfrag_frag 4 1 信息流量 ipfrag IP 片段传送
所有者: nbilly