Si un paquet plus grand que le MTU configuré est reçu et que l'option IP DF (ne pas fragmenter) est définie, le pare-feu de Palo Alto Networks renvoie un message ICMP «Frag-needed», qui informe l'expéditeur qu'une MTU plus petite est nécessaire.
La pile TCP/IP de l'expéditeur doit être capable de répondre avec des paquets plus petits. Toutefois, certains périphériques bloquent ces messages ICMP, ce qui entraînera l'expéditeur à renvoyer le paquet surdimensionné.
Pour éviter cette situation dans un tunnel VPN IPSec, le MTU/MSS (taille de segment maximale) doit être modifié sur les périphériques réseau qui terminent le tunnel. Lorsqu'un paquet passe à travers un tunnel IPSec qui se termine sur un périphérique Palo Alto Networks, le périphérique modifie automatiquement la valeur MSS pour la poignée de main TCP pour atténuer une telle situation.
> afficher le routage FIB
: flow_fwd_mtu_exceeded Forward paquets longueurs dépassé MTU
: flow_fwd_ip_df Forward paquets chuté: dépassé MTU, mais DF bit présent