Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Ajustement TCP SMS pour le trafic IPSec - Knowledge Base - Palo Alto Networks

Ajustement TCP SMS pour le trafic IPSec

249979
Created On 09/25/18 19:21 PM - Last Modified 04/21/20 00:20 AM


Resolution


 

Pour le trafic IPSec, le pare-feu de Palo Alto Networks ajustera automatiquement le MSS TCP dans la poignée de main à trois voies. Cela se produira indépendamment de l'option Adjust TCP MSS activée sur l'interface externe VPN.

 

Le MSS calculé est le plus bas des deux valeurs comme sous:

 

  1. Interface tunnel MTU-40 octets
  2. MSS calculé sur la base de l'Interface MTU, cryptage, algorithmes d'Authentification

 

Relation entre taille de paquet d'origine, algorithme de cryptage, algorithme d'Authentification et MTU d'Interface

 

Prenons en considération la situation suivante:

 

Client ——— Palto Alto ——— Internet ——— pare-feu distant ——— serveur

                              \ ____________ (IPSec) ____________/

 

MTU client: 1500

MTU du serveur: 1500

MTU sur l'interface de terminaison VPN: 1500

MTU interface tunnel: 1500

Algorithme de cryptage: AES-256-CBC

Algorithme d'Authentification: SHA1

 

Surcharge ESP: (toutes les tailles en octets)

 

En-tête IP externe20
Numéro de séquence4
SPI4
Vecteur d'initialisation16
Rembourrage ESP [0-15]
Longueur de rembourrage1
En-tête suivant1
Données d'Authentification12
  
Total[58-73]

 

So AES-256 avec SHA1 produit une surcharge maximale de 73 octets. 

 

Taille de paquet originale + surcharge maximum<= 1500></= 1500>

TCP segment + en-tête TCP + en-tête IP + Max surcharge<= 1500></= 1500>

Segment TCP + 20 octets + 20 octets + 73 octets<= 1500></= 1500>

Segment TCP<= 1387 bytes 1387=""></= 1387 bytes>

 

Si MSS est pris comme 1388, alors L'en-tête ESP résultant dans ce cas sera seulement 1496 octets. (Le remplissage sera de 10 octets seulement)

 

D'en haut,

 

  1. MSS basé sur l'Interface du tunnel MTU = 1500-20 octets (en-tête IP)-20 octets (en-tête TCP) = 1460 octets
  2. MSS calculé en fonction de l'Interface MTU, cryptage, algorithmes d'Authentification = 1388 octets

 

MSS final calculé: MIN (1460, 1388) = 1388.

 

Le même calcul peut être utilisé pour diverses combinaisons d'algorithmes de cryptage/authentification. Certaines des valeurs connues sont:

 

Taille du vecteur d'initialisation pour

  • AES: 16 octets
  • DES: 8 octets

 

Taille des données d'Authentification pour

  • MD5/SHA-1:12 octets
  • SHA-256:16 octets
  • SHA-384:24 octets
  • SHA-512:32 octets

 

Taille maximale du rembourrage pour

  • AES: 15 octets
  • DES: 7 octets

 

Remarque :

 

  • Le comportement ci-dessus a été testé dans PAN-OS 6,0 et ultérieur.
  • Dans le même cas ci-dessus, si vous définissez le MTU de l'interface tunnel comme 1400, alors le MSS résultant sera 1360 et non 1388.

 

Le calcul ci-dessus peut également être utilisé pour calculer la valeur MSS optimale pour un tunnel IPSec. Si le pare-feu n'est pas auto-réglage du MSS compte tenu de la surcharge ESP, la valeur appropriée de MTU peut être réglée sur le tunnel. X interface pour l'ajustement de TCP.

 

Par exemple, si, dans le cas ci-dessus, le pare-feu n'ajustait pas MSS selon les frais généraux ESP, vous pouvez définir l'interface de tunnel MTU à 1387 + 40 = 1427 octets. Cela entraînera la valeur MSS pour être ajusté à la même 1387 octets.

 

Cela permet d'améliorer les performances des applications TCP sur les tunnels IPSec.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClW3CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language