MTU
40458
Created On 09/26/18 13:53 PM - Last Modified 06/13/23 04:31 AM
Resolution
構成された mtu より大きいパケットが受信され、DF (not フラグメント) IP オプションが設定されている場合、パロアルトネットワークファイアウォールは ICMP "断片に必要な" メッセージを返し、小さい mtu が必要であることを送信者に通知します。
送信者の tcp/ip スタックは、小さいパケットで応答できる必要があります。ただし、特定のデバイスはこれらの ICMP メッセージをブロックして、送信者が特大パケットを再送します。
IPSec VPN トンネルでこのような状況を回避するには、トンネルを終了するネットワークデバイス上で MTU/MSS (最大セグメントサイズ) を変更する必要があります。パケットが、パロアルトネットワークデバイスで終了する IPSec トンネルを通過すると、デバイスは TCP ハンドシェイクの MSS 値を自動的に変更して、このような状況を緩和します。
> ルーティングを表示する fib
: flow_fwd_mtu_exceeded フォワードパケットの長さが mtu を超えました
: flow_fwd_ip_df 転送パケットが削除されました: MTU を超えましたが、df ビットが存在