断片化によりファイアウォールが Panorama に接続できない

30873

Created On 10/24/19 03:44 AM - Last Modified 06/09/23 01:16 AM

Symptom

断片化と MTU の問題により、ファイアウォールが Panorama に接続できません

Environment

パロアルトのファイアウォール。
パノラマ 7.1 以降。
PAN-OS 7.1以降。

Cause

ファイアウォールとパノラマの間のネットワークデバイスの断片化が問題の原因となります。 FW からパノラマへの通信は、フラグメント化禁止のフラグが設定された SSL (TCP-3978) に基づいています。
標準イーサネットパケット (長さ 1500 バイト) が送信されるとき、インフラストラクチャの MTU 値が 1500 より低い場合、パケットがドロップされる可能性があります。
以下の例では、MTU は 1500 バイト (デフォルト) に設定されており、1400 バイトを超えるサイズのパケットは、インターフェイスから送信する前に断片化する必要があります。パケットの IP ヘッダーに Don't Fragment (DF) フラグが設定されている場合、ルート上のデバイスはパケットをドロップし、「Fragmentation required but DF bit set」を送信する必要があります。 (タイプ3、コード4) ICMP エラーコードをソースに示します。SSL (HTTPS) 接続が使用されているため、サーバー証明書を含むパケットは通常大きなパケットとなり、ドロップされて SSL/TLS ハンドシェイクが失敗する可能性があります。

これは、次の 3 つの手順を使用して確認できます。

ファイアウォール上で、Panorama ステータスが切断済みとして表示されていることを確認します。パノラマステータスを表示します。

FW01(アクティブ)>パノラマステータスを表示Panorama サーバー 1 : 10.66.57.131 接続 : HA なし 状態 : 切断 Panorama サーバー 2 : 10.32.6.131 接続 : HA なし 状態 : 切断

ファイアウォール上で、Panorama への接続が「確立済み」と表示されていることを確認します。

fw01(active)> show netstat all Yes 数値 Yes |一致 3978 tcp 0 0 10.4.110.26:37305 10.66.57.131:3978 確立 tcp 0 0 10.4.110.26:48055 10.32.6.131:3978 確立

使用するTCPダンプ、ファイアウォール管理上のパケットをキャプチャします。 PCAP には「不正な HDR 長さ 32 - 長すぎます、> 24" というメッセージ

20:11:44.017947 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: P 2897:3250(353) ack 296 win 61 <nop,nop,timestamp 1667104066 660833754> 20:11:4 4.017980 IP 10.4.110.26。 34412 > 10.66.57.131.パンパノラマ: 。 ack 1 win 115 <nop,nop,timestamp 660833767 1667104066,nop,nop,sack 1 {2897:3250}> 20:11:44.017986 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: 。 [不正な HDR 長さ 32 - 長すぎます、> 24] 20:11:44.364196 IP 10.66.57.131.pan-panorama > 10.4.110.26.34412: 。 [不正な HDR 長 32 - 長すぎます、> 24] 20:11:44.367325 IP 10.66.57.131 > 10.4.110.26: tcp

ファイアウォールから Panorama に ping を実行します。断片がありませんとMTU値ファイアウォールに設定します。 ping は次のように失敗しますフラグが必要ですメッセージ。ルート上のネットワークデバイスが ICMP 到達不能を応答できる場合、次の出力が受信されます。

fw01(active)> ping do-not-fragment yes size 1500 host 10.66.57.131 10.4.110.26 以降 icmp_seq=1 フラグが必要で DF が設定されています (mtu = 1500) 10.4.110.26 以降 icmp_seq=1 フラグが必要で DF が設定されています (mtu = 1500) 10.4.110.26 以降 icmp_seq=1 フラグが必要で、DF が設定されています (mtu = 1500)

注: 10.66.57.131 はパノラマ IP です。

上記の手順を逆方向に、パノラマからファイアウォールまで繰り返して、問題がどこにあるかを特定します。

Resolution

解決策-1

ファイアウォールと Panorama の間で使用できる正確な MTU (最大伝送単位) を決定します。これを行うには、フラグメントオプションなしで、ファイアウォールから Panorama に (またはその逆に) ping を実行し、ping が成功するまで、異なる MTU 値を最大値から順に実行します。この例では、パケットサイズ 1450 はフラグメントオプションを使用せずに正常に動作します。

FW01(アクティブ)> ping フラグメントなし はい サイズ 1450 ホスト 10.66.57.131 PING 10.66.57.131 (10.66.57.131) 1450(1478) バイトのデータ。
10.66.57.131 からの 1458 バイト: icmp_seq=1 ttl=48 time=238 ミリ秒 10.66.57.131 からの 1458 バイト: icmp_seq=2 ttl=48 time=178 ミリ秒

注: 10.66.57.131 はパノラマ IP です。

MTU サイズが決定したら、ファイアウォールと Panorama の両方の管理インターフェイスに移動し、MTU を決定された値に変更します。この例では 1450 です。

GUI:デバイス > セットアップ > インターフェイス > 管理 >

MTUを変更すると、専念の変更ファイアウォールとパノラマ。 Panorama への接続は数秒以内に確立されます。

解決策-2

ほとんどのファイアウォールとルーターには、それらを経由する TCP 接続の MSS 値を調整する機能があります。クライアントとサーバー間で交換される SYN および SYN-ACK パケットの MSS 値を書き換えることができます。これを使用して、MSS 値を計算された最適な MSS 値に設定し、クライアントとサーバーの両方がそのサイズでセグメントを構築できるようにすることができます。
TCP MSS (最大セグメントサイズ) は、コンピュータまたは通信デバイスが 1 つの TCP セグメントで受信できるデータの最大量をバイト単位で指定する、TCP ヘッダーのオプションフィールドのパラメータです。 TCP ヘッダー (20 バイト) または IP ヘッダー (20 バイト) は含まれません。
この MSS 値は、TCP 3WHS 中に両側から発表されます (多くの場合、誤ってネゴシエーションと呼ばれます)。

それぞれの側は次のように述べています。サイズ x までの TCP セグメントを受け入れることができます。

各側が MSS を発表すると、リモート側は発表された MSS 値以下の TCP セグメントを含むパケットを送信することが期待されます。以下に、3WHS 内で発表される MSS の例を示します。

10.1.1.100 192.1.1.100 [SYN] シーケンス=0 レン=0 MSS=1460 TSV=556758839 192.1.1.100 10.1.1.100 [SYN、ACK] Seq=0 Ack=1 Win=16484 Len=0 MSS=1280 WS=0 10.1.1.100 192.1.1.100 [ACK] Seq=1 Ack=1 Win=5888 Len=0

Additional Information

関連する KB:
パノラマ接続のトラブルシューティング