MTU

構成された mtu より大きいパケットが受信され、DF (not フラグメント) IP オプションが設定されている場合、パロアルトネットワークファイアウォールは ICMP "断片に必要な" メッセージを返し、小さい mtu が必要であることを送信者に通知します。

送信者の tcp/ip スタックは、小さいパケットで応答できる必要があります。ただし、特定のデバイスはこれらの ICMP メッセージをブロックして、送信者が特大パケットを再送します。

IPSec VPN トンネルでこのような状況を回避するには、トンネルを終了するネットワークデバイス上で MTU/MSS (最大セグメントサイズ) を変更する必要があります。パケットが、パロアルトネットワークデバイスで終了する IPSec トンネルを通過すると、デバイスは TCP ハンドシェイクの MSS 値を自動的に変更して、このような状況を緩和します。

> ルーティングを表示する fib

: flow_fwd_mtu_exceeded フォワードパケットの長さが mtu を超えました

: flow_fwd_ip_df 転送パケットが削除されました: MTU を超えましたが、df ビットが存在