ファイアウォールが Panorama に接続しない | 中間デバイスがICMP フラグメンテーションが必要というメッセージを送信する
6857
Created On 03/28/23 05:24 AM - Last Modified 12/27/24 09:50 AM
Symptom
- トラブルシューティングには Panorama Connectivityが使用されます。
- 中間デバイスがICMP フラグメンテーションが必要(タイプ 3、コード 4) メッセージを送信していることから、管理対象ファイアウォールと Panorama 間の中間デバイスの MTU が低いことが確認されました。
- 理想的には、パス MTU 検出に従って、ホストがICMP フラグメンテーションが必要というメッセージを受信すると、それを尊重し、後続の接続試行でそれに応じて MTU を減らす必要がありますが、管理対象ファイアウォールはTCP SYNパケットで同じ古い MSS 値を送信し続けます。
Environment
- Panorama 管理ファイアウォール
- サポートされているPAN-OS
Cause
- 管理対象ファイアウォールの管理インターフェイスに設定された許可 IP リスト。
- これにより、ICMP フラグメンテーションが必要なメッセージが管理インターフェイスに到達せず、MTU は自動的に調整されません。
Resolution
- ICMPフラグメンテーションが必要メッセージを送信した中間デバイスのIPを以下に追加します。
- 管理対象ファイアウォールGUI > デバイス > セットアップ > インターフェース > 管理インターフェース設定 (Ping サービスを許可する必要があります)
- これにより、断片化が必要なメッセージがファイアウォールに到達し、それに応じて MTU が調整されます。
代替解決策:
- ファイアウォール管理 MTU と一致するように中間デバイスの MTU を変更します。
- 中間デバイスに合わせて管理インターフェイスの MTU を下げます。
- トラフィックがファイアウォールのデータプレーンを通過する場合は、 TCP MSS を調整します。