Wenn ein Paket größer als die konfigurierte MTU empfangen wird und die DF-IP-Option (Don 't Fragment) gesetzt ist, gibt die Palo Alto Networks Firewall eine ICMP "Frag-benötigte" Nachricht zurück und teilt dem Absender mit, dass eine kleinere MTU benötigt wird.
Der TCP/IP-Stack des Absenders sollte in der Lage sein, mit kleineren Paketen zu reagieren. Allerdings blockieren bestimmte Geräte diese ICMP-Nachrichten, die dazu führen, dass der Absender das überdimensionale Paket zurücksendet.
Um diese Situation in einem IPSec-VPN-Tunnel zu vermeiden, sollte die MTU/MSS (maximale Segment Größe) auf den Netzwerkgeräten, die den Tunnel beenden, gewechselt werden. Wenn ein Paket durch einen IPSec-Tunnel geht, der auf einem Palo Alto Networks-Gerät endet, ändert das Gerät automatisch den MSS-Wert für den TCP-Handshake, um eine solche Situation zu lindern.
> Routing-FIB anzeigen
: flow_fwd_mtu_exceeded Forward-Pakete-Längen übertroffen die MTU
: flow_fwd_ip_df Forward-Pakete fallen gelassen: übertroffen MTU, aber DF-Bit vorhanden