帕洛阿尔托网络防火墙如何处理超过 MTU 的数据包
Resolution
详细
如果接收的数据包大于配置的 MTU (最大传输单元), 并且设置了 DF (不分段) IP 选项, 则防火墙将返回 ICMP "碎片" 消息, 通知发件人需要更小的 mtu。有关更多信息, 请参见帕洛阿尔托网络防火墙如何管理零碎通信 的方案 A
发件人的 tcp/ip 堆栈应该能够用较小的数据包进行响应。但是, 某些设备会阻止这些 ICMP 消息, 从而导致发件人重新发送超大数据包。
要在 IPSEC VPN 隧道中避免这种情况, 请更改终止隧道的网络设备上的 MTU/MSS (最大段大小)。当数据包通过在帕洛阿尔托网络防火墙上终止的 IPSec 隧道时, 防火墙会自动更改 TCP 握手的 MSS 值以缓解这种情况。
如果防火墙上使用了动态路由协议 (如 RIP 或 OSPF), 请验证使用的 mtu 是否小于在接口上配置的 mtu, 并使用以下命令:
>> 显示路由的谎言
显示的虚拟路由器总数: 1
-------------------------------------------------------------------------------
虚拟路由器名称: VR1
接口: ethernet1/3 ethernet1/4 隧道 1
路由表:
标志: u 向上, h 主机, g 网关
-------------------------------------------------------------------------------
最大的设备的谎言条目: 1250 个
设备的6个条目的
最大值为这个谎言: 1250
的谎言主菜这个谎言: 6
的谎言项目显示: 6
-------------------------------------------------------------------------------
id 目标 nexthop 标志接口 mtu
-------------------------------------------------------------------------------
4 0.0. 0.0/0 10.30.14.254 ug ethernet1/3 1500 3
10.30.14.0/24 0.0.0.0 u ethernet1/3 1500 2
10.30.14.145/32 0.0.0。0 呃 ethernet1/3 1500
所有者︰ panagent