EtherIP プロトコル パケットにより、リソースが使用される場合があります。PANW次世代ファイアウォール
15971
Created On 09/19/22 15:17 PM - Last Modified 06/28/23 09:25 AM
Symptom
EtherIP プロトコル (IPプロトコル 97) トンネル イーサネットとIEEE802.3 メディア アクセス制御フレームIP非データグラムIPトラフィックはIPインターネット。 このプロトコルは非常に軽量であり、無限ループに対する保護を提供しません。
通常は暗号化されたデータを運ぶために使用されますが、トラフィックが通過する可能性がありますPANWネットワーク トポロジに応じた次世代ファイアウォール。 大量の EtherIP トラフィックは、リソースの使用率を引き起こす可能性があります。
Environment
どれでもPANW次世代firewall
すべての PanOS バージョン
Cause
ほとんどの場合、EtherIP トラフィックに遭遇します。WLAN間でトラフィックを運ぶために使用されるインフラストラクチャWLANコントローラおよび/またはアクセス ポイント。 複数の内部サブネットから送信された/送信されたトラフィックは、単一の EtherIP トンネルを介して伝送される場合があります。
大量のパケットが同じ「セッション」レコードにヒットするため、firewall上のリソースfirewall利用される場合があります。 のhardwareネットワーク (オフロード) プロセッサを搭載したモデルは、プロトコルの性質上、EtherIP トラフィックをオフロードできません。
ネットワーク プロセッサは、メッセージを EtherIP パケットとともにデータ プレーンに送信します。 データプレーン上flow_fpga_rcv_igr_PROTOパケットごとに増加します。
> show counter global filter delta yes ... flow_fpga_rcv_igr_PROTO 4176134021 2502 info flow offload FPGA IGR Exception: PROTO
Resolution
で EtherIP トラフィックを許可する必要がある場合firewall:
-イーサリップapp-id はセキュリティで使用する必要がありますpolicyトラフィックを許可します。
- アプリケーションのオーバーライドpolicyのために定義されたカスタムアプリケーションでIPプロトコル 97 を使用すると、処理負荷を少し軽減できます。
- トラフィック量と使用率が高い場合は、EtherIP トラフィックをネットワークから削除することをお勧めします。firewall .
で EtherIP トラフィックをブロックする必要がある場合firewall:
- ボリュームが低い場合はセキュリティpolicyとイーサリップapp-id を使用してトラフィックを拒否できます。
- 音量が大きい場合ゾーンおよび/またはDoS 保護ポリシーを使用して、パケット処理の初期段階でパケットをドロップできます。
Additional Information
EtherIP へのリンクRFC:
https://www.rfc-editor.org/rfc/rfc3378
のパケット処理段階に関する記事PANW次世代ファイアウォール:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWFCA0
アプリケーションオーバーライドに関連する公開文書:
https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -web-interface-help/policies/policies-application-override
ゾーンおよび DoS 保護に関連する公開文書:
https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -admin/zone-protection-and-dos-protection