Bu makalede, istekte bulunan tarafdan trafik başlatıldığında Güvenlik Duvarından geçen paketlerin doğru boyutunun nasıl görüleceği açıklanmaktadır.
FortiGate’in trafiği parçalamak üzere yapılandırılıp yapılandırılmadığını kontrol edin.
show | grep honor
show full | grep -f honor
Sonuçlar aşağıdakine benzerdir:
set honor-df enable/disable <----- Bu etkinleştirilirse, FortiGate trafiği parçalamaz. (Paketler, başlatıcının parçalamaya izin verdiği yere geliyorsa, FortiGate gerekirse trafiği yine de parçalayabilir).
MTU Kontrolü ve Parçalama:
Paket, arayüz MTU’sundan büyükse ve DF (Do not Fragment) biti ayarlanmamışsa, FortiGate onu parçalar.
DF biti ayarlanmışsa, parçalamaya izin verilmez. Bunun yerine, FortiGate paketi bırakır ve göndericiye bir ICMP ‘Parçalama Gerekli’ mesajı gönderebilir.
Zorunlu Parçalanma (DF Bitini Geçersiz Kıl):
FortiGate, paketleri VPN tünelleri üzerinden iletirken (örneğin, IPsec) DF bitini geçersiz kılmak için bir mekanizmaya sahiptir. Bir paketin parçalanması gerekiyorsa, FortiGate DF bitini yok sayar ve onu parçalar.
Başlatıcının parçalanmaya izin verecek şekilde yapılandırılıp yapılandırılmadığı Wireshark aracılığıyla görülebilir.
Örnek:
İnternet Protokolü Sürüm 4 altında, Kaynak: 10.0.0.0, Hedef: 10.0.0.0.
Aşağıdaki gibi bayraklar bölümünde:
000. .... = Flags: 0x0
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set <-----
..0. .... = More fragments: Not set
Doğru MTU boyutunu görmek için.
CMD’den ping’i çalıştırın:
ping -n 1 -l 4000 xx.xx.xx.xx
hedef IP xx.xx.xx.xx, <—– 4000 paketin boyutudur, gerekirse daha büyük bir paket boyutu kullanın.
Bu komutun ne yaptığını ayrıntılı olarak açıklamak için:
ping: Bu, belirtilen bir ağ ana bilgisayarına ICMP Echo Request paketleri gönderen komuttur.
-n 1: Bu, yalnızca 1 ping isteğinin gönderilmesi gerektiğini belirtir. Normalde, ping varsayılan olarak 4 istek gönderir.
-l 4000: Bu, paket boyutunu 4000 bayta ayarlar. Varsayılan paket boyutu 32 bayttır, bu nedenle bu seçenek daha büyük bir yük altında ağ performansını test etmek için daha büyük bir paket göndermek için kullanılır. Ping komutu kullanılarak gönderilebilecek maksimum paket boyutu 65.500 bayttır. Ancak, jumbo çerçeveleri test ederken, ping komutu için etkin sınır yaklaşık 8.972 bayttır. Bu boyut, genellikle bu tür testler için kullanılan 9.000 baytlık bir Ethernet jumbo çerçevesindeki ek yükü hesaba katar.
FortiGate’te:
diag sniffer packet any "host xx.xx.xx.xx and icmp" 4 10 1
destination IP is xx.xx.xx.xx
Önce bir sniffer çalıştırın ve aynı anda bir ping başlatın.
FortiGate’ten geçen doğru boyut çıktıda görülecektir.
Not:
FortiGate’ler, FortiGate NP işlemcilerine aktarılan oturumlar için trafik günlükleri kaydetmez.
NPU aktarımını devre dışı bırakma:
config firewall poli
edit ID <----- Politika Kimliği burada.set auto-asic-offload disable
son
Güvenlik duvarında yapılandırılan MTU boyutunu kontrol etmek için:
show sys int portXX
sh full sys int portXX | grep mtu
diag netlink interface list portXX
XX’i kullanımdaki portla değiştirin.
8 total views, 8 views today
