방화벽이 Panorama에 연결되지 않음 | 중간 디바이스 ICMP 조각화가 필요한 메시지를 보냄
6869
Created On 03/28/23 05:24 AM - Last Modified 12/27/24 09:52 AM
Symptom
- Panorama Connectivity는 문제 해결에 사용됩니다.
- 관리되는 방화벽 과 Panorama 사이의 중간 디바이스 에서 ICMP Fragmentation needed (유형 3, 코드 4) 메시지를 전송하는 것을 기반으로 해당 중간 디바이스 의 MTU가 더 낮은 것으로 식별됩니다.
- 이상적으로는 경로 MTU 검색에 따라 호스트가 ICMP 조각화가 필요하다는 메시지를 수신하면 이를 존중하고 이후 연결 시도에서 이에 따라 MTU를 줄여야 하지만, 관리되는 방화벽 TCP SYN 패킷에 기존의 MSS 값을 계속 포함하여 전송합니다.
Environment
- 파노라마 관리 방화벽
- 지원되는 PAN-OS
Cause
- 관리되는 방화벽 의 관리 인터페이스 에 구성된 허용 IP 목록입니다.
- 이로 인해 ICMP 조각화가 필요하다는 메시지가 관리 인터페이스 에 도달하지 못하고 MTU가 자동으로 조정되지 않습니다.
Resolution
- ICMP Fragmentation needed 메시지를 보낸 중간 디바이스 의 IP를 추가하세요.
- 관리되는 방화벽 GUI > 장치 > 설정 > 인터페이스 > 관리 인터페이스 설정(Ping 서비스가 허용되어야 함)
- 이렇게 하면 Fragmentation needed 메시지가 방화벽 에 전달되고 이에 따라 MTU가 조정됩니다.
대체 솔루션:
- 방화벽 관리 MTU와 일치하도록 중간 디바이스 의 MTU를 변경합니다.
- 중간 디바이스 와 일치하도록 관리 인터페이스 의 MTU를 낮춥니다.
- 트래픽이 방화벽 의 데이터플레인 통해 적절히 흐르는 경우 TCP MSS를 조정합니다.