Ajustement TCP SMS pour le trafic IPSec
Resolution
Pour le trafic IPSec, le pare-feu de Palo Alto Networks ajustera automatiquement le MSS TCP dans la poignée de main à trois voies. Cela se produira indépendamment de l'option Adjust TCP MSS activée sur l'interface externe VPN.
Le MSS calculé est le plus bas des deux valeurs comme sous:
- Interface tunnel MTU-40 octets
- MSS calculé sur la base de l'Interface MTU, cryptage, algorithmes d'Authentification
Relation entre taille de paquet d'origine, algorithme de cryptage, algorithme d'Authentification et MTU d'Interface
Prenons en considération la situation suivante:
Client ——— Palto Alto ——— Internet ——— pare-feu distant ——— serveur
\ ____________ (IPSec) ____________/
MTU client: 1500
MTU du serveur: 1500
MTU sur l'interface de terminaison VPN: 1500
MTU interface tunnel: 1500
Algorithme de cryptage: AES-256-CBC
Algorithme d'Authentification: SHA1
Surcharge ESP: (toutes les tailles en octets)
| En-tête IP externe | 20 |
| Numéro de séquence | 4 |
| SPI | 4 |
| Vecteur d'initialisation | 16 |
| Rembourrage ESP | [0-15] |
| Longueur de rembourrage | 1 |
| En-tête suivant | 1 |
| Données d'Authentification | 12 |
| Total | [58-73] |
So AES-256 avec SHA1 produit une surcharge maximale de 73 octets.
Taille de paquet originale + surcharge maximum<= 1500></= 1500>
TCP segment + en-tête TCP + en-tête IP + Max surcharge<= 1500></= 1500>
Segment TCP + 20 octets + 20 octets + 73 octets<= 1500></= 1500>
Segment TCP<= 1387 bytes 1387=""></= 1387 bytes>
Si MSS est pris comme 1388, alors L'en-tête ESP résultant dans ce cas sera seulement 1496 octets. (Le remplissage sera de 10 octets seulement)
D'en haut,
- MSS basé sur l'Interface du tunnel MTU = 1500-20 octets (en-tête IP)-20 octets (en-tête TCP) = 1460 octets
- MSS calculé en fonction de l'Interface MTU, cryptage, algorithmes d'Authentification = 1388 octets
MSS final calculé: MIN (1460, 1388) = 1388.
Le même calcul peut être utilisé pour diverses combinaisons d'algorithmes de cryptage/authentification. Certaines des valeurs connues sont:
Taille du vecteur d'initialisation pour
- AES: 16 octets
- DES: 8 octets
Taille des données d'Authentification pour
- MD5/SHA-1:12 octets
- SHA-256:16 octets
- SHA-384:24 octets
- SHA-512:32 octets
Taille maximale du rembourrage pour
- AES: 15 octets
- DES: 7 octets
Remarque :
- Le comportement ci-dessus a été testé dans PAN-OS 6,0 et ultérieur.
- Dans le même cas ci-dessus, si vous définissez le MTU de l'interface tunnel comme 1400, alors le MSS résultant sera 1360 et non 1388.
Le calcul ci-dessus peut également être utilisé pour calculer la valeur MSS optimale pour un tunnel IPSec. Si le pare-feu n'est pas auto-réglage du MSS compte tenu de la surcharge ESP, la valeur appropriée de MTU peut être réglée sur le tunnel. X interface pour l'ajustement de TCP.
Par exemple, si, dans le cas ci-dessus, le pare-feu n'ajustait pas MSS selon les frais généraux ESP, vous pouvez définir l'interface de tunnel MTU à 1387 + 40 = 1427 octets. Cela entraînera la valeur MSS pour être ajusté à la même 1387 octets.
Cela permet d'améliorer les performances des applications TCP sur les tunnels IPSec.