Cómo mitigar un aumento anormal en el contador global "flow_fwd_l3_ttl_zero"

Cómo mitigar un aumento anormal en el contador global "flow_fwd_l3_ttl_zero"

6324
Created On 06/03/24 16:02 PM - Last Modified 10/29/24 20:00 PM


Objective


  • Para mitigar un aumento anormal en flow_fwd_l3_ttl_zero contador global. 
    show counter global filter delta yes
flow_fwd_l3_ttl_zero x y drop flow forward Packets dropped: IP TTL reaches zero
  • Este contador flow_fwd_l3_ttl_zero incrementa cuando se descarta un paquete debido a que el valor de tiempo de vida (TTL) de IP en su encabezado IP alcanza 1 antes de llegar al firewall. El firewall disminuye el TTL en 1 y descarta el paquete cuando se convierte en 0, también envía un mensaje ICMP tipo 11 y código 0 (tiempo excedido) al originador del paquete IP.

Environment


  • Firewall de próxima generación
  • PAN-OS compatible
  • Bucle de enrutamiento
  • flow_fwd_l3_ttl_zero contador global

Procedure


  1. Revise la configuración de enrutamiento de la red y el firewall:
    1. Para comprobar la tabla de ruteo, utilice el comando CLI: 
      show routing route
      Asegúrese de que las rutas estén configuradas correctamente para minimizar el número de esperanzas necesarias para que los paquetes lleguen a sus destinos.
    2. Para comprobar la tabla de reenvío, utilice el comando CLI: 
      show routing fib
      Asegúrese de que los protocolos de enrutamiento estén actualizados y revisados para evitar errores de configuración o bucles de enrutamiento.
  2. Compruebe los registros de tráfico y busque el tráfico que está descartando el firewall. Vaya a SUPERVISAR > tráfico en la interfaz de usuario.
    1. Una vez identificada la IP de origen, la IP de destino y/o la aplicación, realice una captura de paquetes filtrada. Utilice un analizador de paquetes para ayudarle a identificar qué dispositivo de la red está enviando un paquete al cortafuegos con TTL=1 y si el problema está dentro de la configuración del cortafuegos o fuera del cortafuegos.
    2. Utilice un traceroute para rastrear la ruta del paquete e identificar cualquier router que esté disminuyendo el TTL demasiado rápido. 
      traceroute source <source address> host <host address>
    3. Nota: Es posible establecer el max-ttl en el comando anterior.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDHaCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language