So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_fwd_l3_ttl_zero"

So mildern Sie einen abnormalen Anstieg des globalen Zählers "flow_fwd_l3_ttl_zero"

6324
Created On 06/03/24 16:02 PM - Last Modified 10/29/24 20:00 PM


Objective


  • Um einen abnormalen Anstieg flow_fwd_l3_ttl_zero globalen Indikators abzuschwächen. 
    show counter global filter delta yes
flow_fwd_l3_ttl_zero x y drop flow forward Packets dropped: IP TTL reaches zero
  • Dieser Leistungsindikator flow_fwd_l3_ttl_zero inkrementiert, wenn ein Paket aufgrund des TTL-Werts (IP Time to Live) in seinem IP-Header 1 erreicht, bevor es die Firewall erreicht. Die Firewall verringert die TTL um 1 und verwirft das Paket, wenn sie 0 wird. Außerdem sendet sie eine ICMP-Nachricht vom Typ 11 und den Code 0 (Zeit überschritten) an den Absender des IP-Pakets.

Environment


  • Firewall der nächsten Generation
  • Unterstütztes PAN-OS
  • Routing-Schleife
  • flow_fwd_l3_ttl_zero globaler Zähler

Procedure


  1. Überprüfen Sie die Routingkonfiguration des Netzwerks und der Firewall:
    1. Um die Routing-Tabelle zu überprüfen, verwenden Sie den CLI-Befehl: 
      show routing route
      Stellen Sie sicher, dass die Routen ordnungsgemäß konfiguriert sind, um die Anzahl der Hoffnungen zu minimieren, die erforderlich sind, damit die Pakete ihre Ziele erreichen.
    2. Um die Weiterleitungstabelle zu überprüfen, verwenden Sie den CLI-Befehl: 
      show routing fib
      Stellen Sie sicher, dass die Routing-Protokolle aktualisiert und überprüft werden, um Fehlkonfigurationen oder Routing-Schleifen zu vermeiden.
  2. Überprüfen Sie die Datenverkehrsprotokolle, und suchen Sie nach dem Datenverkehr, der von der Firewall verworfen wird. Navigieren Sie in der Benutzeroberfläche zu MONITOR > Traffic .
    1. Sobald die Quell-IP, die Ziel-IP und/oder die Anwendung identifiziert wurden, führen Sie eine gefilterte Paketerfassung durch. Verwenden Sie einen Paketanalysator, um zu ermitteln, welches Gerät im Netzwerk ein Paket mit TTL=1 an die Firewall sendet und ob das Problem innerhalb der Firewall-Konfiguration oder außerhalb der Firewall liegt.
    2. Verwenden Sie eine Traceroute, um den Pfad des Pakets zu verfolgen und alle Router zu identifizieren, die die Gültigkeitsdauer zu schnell verringern. 
      traceroute source <source address> host <host address>
    3. Hinweis: Es ist möglich, die max-ttl im obigen Befehl zu setzen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDHaCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language