996より大きいパケットサイズの Ping は動作していません

996より大きいパケットサイズの Ping は動作していません

140070
Created On 09/26/18 13:48 PM - Last Modified 06/08/23 08:41 AM


Resolution


問題

パケットサイズが997バイト以上のホスト/サーバへの ping が動作していません。

Untitled1.png

 

原因

この問題は、発信元の ping のソースゾーンに割り当てられているゾーン保護プロファイルで、1024バイトを超えるパケットに対してパケットのドロップを有効にする構成が原因で発生している可能性があります。

 

各 ping パケットは、28バイトのオーバーヘッドとして。したがって、ping パケットの実際のバイトサイズは n + 28 になり、n は ping に使用されるバイトサイズになります。上記の例では、サイズは次のとおりです。

  • 996 + 28 = 1024、成功した ping の結果
  • 997 + 28 = 1025、失敗した ping の結果

 

解決方法

  1. [ネットワーク] > [ネットワークプロファイル] > [ゾーン保護] に移動します。
  2. ping ソースをカバーするゾーンに割り当てられているゾーン保護プロファイルを選択します。
  3. パケットベースの攻撃保護 > ICMP ドロップに移動します。
  4. ICMP ラージパケット (> 1024) のオプションを無効にします。
    Untitled.png
  5. [OK] をクリックし、変更を確定します。

 

検証

次の出力は、ICMP ラージパケット (> 1024) オプションが無効になっている例を示しています。

Untitled2.png

 

所有者: rchougale
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpQCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language