高い MTU(サイズ超過パケット)によるパケット破棄のトラブルシューティング
概要
あらゆるネットワーク内のパケットに、デフォルト サイズの 1518 バイトよりも大きい MTU が設定されている可能性があります。 このため、パケットが Snort で処理される前に、管理対象デバイスのインターフェイスで破棄されることがあります。 その結果として、FireSIGHT Management Center の Web ユーザ インターフェイスで対応するイベントが存在しなくなります。 このドキュメントでは、パケットのサイズ超過によるパケット ドロップを確認する方法と、FireSIGHT システムで MTU 設定のデフォルトを変更する方法について説明します。
確認
ドロップするが MTU サイズが原因で発生したかどうか確認するために、下記のようにステップに従って下さい:
1. マネージ デバイスにセキュア シェル(SSH)によってログインし、次のコマンドを実行して下さい:
> show portstats
出力例:
2. 各ポートがあるように特大パケットを確認して下さい。 数がゼロまたはより高くであるかどうか確認して下さい。 上のスクリーン ショットは、たとえば、ポート s1p1 の特大カウンターがゼロであることを示します。 このチェックはどのポートが特大パケットを受信しているか知らせます。
設定
マネージ デバイスのインターフェイスが特大パケットを見る場合、インターフェイスの MTU を増加して下さい。 MTU を変更するために、下記のようにステップに従って下さい:
1. FireSIGHT Management Center の Web ユーザ ユーザー・インターフェースにログインして下さい。
2. [Device] > [Device Management]に移動します。
3. インライン セット タブをクリックし、変更したいインライン セットの隣で『Edit』 をクリック して下さい。
4. ネットワークのトラフィックの種類に基づいて適切な桁数に MTU フィールドを設定 して下さい。
4. 変更を保存し、加えて下さい。
フィードバック