防火墙未连接到 Panorama | 中间设备发送 ICMP 碎片需要消息
6891
Created On 03/28/23 05:24 AM - Last Modified 12/27/24 09:52 AM
Symptom
- 故障排除 Panorama Connectivity用于故障排除。
- 根据中间设备发送的“需要 ICMP 碎片(类型 3,代码 4)”消息,确定托管防火墙与 Panorama 之间的中间设备上的 MTU 较低。
- 理想情况下,根据路径 MTU 发现,当主机收到需要 ICMP 分片消息时,它应该遵守该消息并在后续的连接尝试中相应地减少其 MTU,但是,托管防火墙会继续在TCP SYN数据包中发送相同的旧 MSS 值。
Environment
- Panorama 管理防火墙
- 支持的 PAN OS
Cause
- 在管理防火墙的管理接口上配置的允许IP列表。
- 这会导致 ICMP 分片需要消息无法到达管理接口,因此 MTU 不会自动调整。
Resolution
- 在下方添加发送ICMP Fragmentation Needed 消息的中间设备的 IP
- 管理防火墙GUI > 设备 > 设置 > 接口 > 管理接口设置(应允许 Ping 服务)
- 这会导致需要分片的消息到达防火墙,并会相应地调整 MTU。
替代解决方案:
- 更改中间设备上的 MTU 以匹配防火墙管理 MTU。
- 降低管理接口上的 MTU 以匹配中间设备。
- 如果流量流经防火墙的数据平面,则调整TCP MSS。