Comment atténuer une augmentation anormale du compteur global « flow_fwd_l3_ttl_zero »

Comment atténuer une augmentation anormale du compteur global « flow_fwd_l3_ttl_zero »

6302
Created On 06/03/24 16:02 PM - Last Modified 10/29/24 20:00 PM


Objective


  • Pour pallier une augmentation anormale de flow_fwd_l3_ttl_zero compteur global. 
    show counter global filter delta yes
flow_fwd_l3_ttl_zero x y drop flow forward Packets dropped: IP TTL reaches zero
  • Ce compteur flow_fwd_l3_ttl_zero incréments lorsqu’un paquet est abandonné en raison de la valeur TTL (IP Time to Live) dans son en-tête IP qui atteint 1 avant d’atteindre le pare-feu. Le firewall décrémente le TTL de 1 et abandonne le paquet lorsqu’il devient 0, il envoie également un message ICMP de type 11 et le code 0 (temps dépassé) à l’expéditeur du paquet IP.

Environment


  • Pare-feu nouvelle génération
  • PAN-OS pris en charge
  • boucle de routage
  • flow_fwd_l3_ttl_zero compteur mondial

Procedure


  1. Vérifiez la configuration du routage du réseau et du pare-feu :
    1. Pour vérifier la table de routage, utilisez la commande CLI : 
      show routing route
      Assurez-vous que les itinéraires sont correctement configurés pour minimiser le nombre d’espoirs requis pour que les paquets atteignent leurs destinations.
    2. Pour vérifier la table de transfert, utilisez la commande CLI : 
      show routing fib
      Assurez-vous que les protocoles de routage sont mis à jour et examinés afin d’éviter toute erreur de configuration ou boucle de routage.
  2. Consultez les journaux de trafic et recherchez le trafic abandonné par le pare-feu. Accédez à SURVEILLER > trafic dans l’interface utilisateur.
    1. Une fois l’adresse IP source, l’adresse IP de destination et/ou l’application identifiées, effectuez une capture de paquets filtrée. Utilisez un analyseur de paquets pour vous aider à identifier quel périphérique du réseau envoie au pare-feu un paquet avec TTL=1 et si le problème se situe dans la configuration du pare-feu ou en dehors du pare-feu.
    2. Utilisez un traceroute pour suivre le chemin du paquet et identifier les routeurs qui décrémentent le TTL trop rapidement. 
      traceroute source <source address> host <host address>
    3. Remarque : Il est possible de définir max-ttl dans la commande ci-dessus.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDHaCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language