MTU

如果接收到的数据包大于配置的 MTU, 并且设置了 DF (不分段) IP 选项, 帕洛阿尔托网络防火墙将返回 ICMP "碎片" 消息, 通知发件人需要更小的 mtu。

发件人的 tcp/ip 堆栈应该能够用较小的数据包进行响应。但是, 某些设备会阻止这些 ICMP 消息, 这将导致发件人重新发送超大数据包。

为避免 IPSec VPN 隧道中出现这种情况, 应在终止隧道的网络设备上更改 MTU/MSS (最大段大小)。当数据包通过在帕洛阿尔托网络设备上终止的 IPSec 隧道时, 设备会自动更改 TCP 握手的 MSS 值以缓解这种情况。

>> 显示路由的谎言

: flow_fwd_mtu_exceeded 转发数据包长度超过 mtu

: flow_fwd_ip_df 转发数据包已丢弃: 超过 MTU 但 df 位存在