MTU

Si se recibe un paquete más grande que la MTU configurada y se establece la opción de IP DF (no fragmentar), el cortafuegos de Palo Alto Networks devuelve un mensaje ICMP "necesario para fragmentos", notificando al remitente que se necesita un MTU más pequeño.

La pila TCP/IP del remitente debe ser capaz de responder con paquetes más pequeños. Sin embargo, ciertos dispositivos bloquean estos mensajes ICMP, lo que hará que el remitente reenvíe el paquete de gran tamaño.

Para evitar esta situación en un túnel VPN IPSec, se debe cambiar el MTU/MSS (tamaño máximo del segmento) en los dispositivos de red que terminan el túnel. Cuando un paquete pasa a través de un túnel IPSec que termina en un dispositivo de redes palo alto, el dispositivo cambia automáticamente el valor MSS del Protocolo de enlace TCP para aliviar dicha situación.

> Mostrar encaminamiento FIB

: flow_fwd_mtu_exceeded Forward paquetes longitudes superados MTU

: flow_fwd_ip_df Forward paquetes caídos: superó MTU pero DF bit presente