如何缓解“flow_fwd_l3_ttl_zero”全局计数器的异常增加
6298
Created On 06/03/24 16:02 PM - Last Modified 10/29/24 20:00 PM
Objective
- 缓解全局计数器的异常增加flow_fwd_l3_ttl_zero。
show counter global filter delta yes flow_fwd_l3_ttl_zero x y drop flow forward Packets dropped: IP TTL reaches zero - 当数据包由于其 IP 标头中的 IP 生存时间 (TTL) 值在到达防火墙之前达到 1 而丢弃数据包时,此计数器flow_fwd_l3_ttl_zero递增。 防火墙将 TTL 递减 1,并在数据包变为 0 时丢弃数据包,它还向 IP 数据包的发起者发送 ICMP 消息类型 11 和代码 0(超过时间)。
Environment
- 下一代防火墙
- 支持的 PAN-OS
- 路由环路
- flow_fwd_l3_ttl_zero全局计数器
Procedure
- 查看网络和防火墙的路由配置:
- 要检查路由表,请使用 CLI 命令:
show routing route
确保正确配置路由,以最大程度地减少数据包到达目的地所需的希望数。 - 要检查转发表,请使用 CLI 命令:
show routing fib
确保更新和审查路由协议,以防止任何配置错误或路由环路。
- 要检查路由表,请使用 CLI 命令:
- 检查流量日志并搜索防火墙正在丢弃的流量。 在 UI 中导航到 MONITOR > Traffic 。
- 识别出源 IP、目标 IP 和/或应用程序后,执行 过滤数据包捕获。 使用数据包分析器来帮助您确定网络中的哪个设备正在向防火墙发送 TTL=1 的数据包,以及问题是在防火墙配置内还是在防火墙之外。
- 使用 traceroute 跟踪数据包的路径,并识别任何过快减少 TTL 的路由器。
traceroute source <source address> host <host address>
- 注意:可以在上述命令中设置 max-ttl。