Cuándo usar Ajustar MSS

Cuándo usar Ajustar MSS

120744
Created On 10/15/19 09:43 AM - Last Modified 03/26/21 17:49 PM


Symptom


TCP las transferencias fallan/agota el tiempo de espera después de un tiempo. 
Por ejemplo, el cliente PC está intentando acceder a un sitio web y la página web no carga y el tiempo de espera se produce o se carga solo parcialmente.
El navegador puede dar "ERR_CONNECTION_TIMED_OUT" o cargar solo partes de la página web.
La página web puede tardar mucho tiempo en cargarse completamente en el navegador.

Environment


Cualquier TCP transferencia basada. 
Las cuestiones relativas al acceso al sitio web se han debatido en este documento.

Cause


Comprobación inicial :
El error o el estado del explorador debe comprobarse primero para ver si el problema no se debe a problemas con el servidor.
Si se ven códigos de error http de las series 500 o 400, puede ser un problema relacionado con el servidor o la autorización.
Si no hay tales códigos de error y si el PC es capaz de resolver el , entonces el problema podría URL deberse a problemas en la ruta MTU de acceso.

Para mayor claridad y simplicidad, este documento considera la topología siguiente como la configuración.

Topología :


Imagen de usuario añadido


Suposiciones :
La MTU configuración en la interfaz eth1/1 del router R1 es de 1400 bytes.
10.10.40.1 es el servidor web que aloja el sitio web abcd.com. 
abcd.com en el Cliente PC se resuelve en 10.10.40.1
El sitio web no carga en el PC cliente.
 

Resolution


¿Cómo baja MTU Afectar TCP la comunicación :
En este caso, puesto que la interfaz MTU eth1/1 del router R1 se fija a 1400 bytes, los paquetes de tamaño más que 1400 bytes tendrán que ser fragmentados antes de que puedan ser enviados fuera de esta interfaz.
Si el indicador No fragmentar ( DF ) se fija en el encabezado del IP paquete, después el router R1 tendrá que caer el paquete y enviar el código de error "Fragmentación necesaria pero DF bit set" (tipo 3, código 4) ICMP al origen.
La mayoría TCP de las aplicaciones basadas tendrán el bit establecido en el DF IP encabezado.
Considere que un paquete de datos del tamaño 1500 Bytes del servidor 10.10.40.1 se envía al cliente 10.10.10.1.
Puesto que el DF indicador en este paquete será fijado, el router R1 caerá el paquete al intentar enviarlo fuera de la interfaz ethernet 1/1.
Esto hará que todos los paquetes de tamaño más que 1400 bytes sean caídos y por lo tanto la página web no cargará en el cliente.
Si SSL se está utilizando la conexión ( ), después los paquetes con el certificado del servidor son generalmente grandes HTTPS paquetes que pueden caer causando el / SSL TLS apretón de manos fallar.

Cómo encontrar MTU Problema y MSS óptimo:
No siempre es posible tener acceso a todos los hosts en la ruta de acceso para marcar la MTU configuración.
A PC MTU
Los siguientes parámetros deben establecerse al hacer el Ping.
1. No fragmente la broca (-f)
2. Tamaño (-l)
Por debajo de la salida se toma de PC Windows. Los comandos respectivos tendrán que usarse en máquinas que ejecuten un OS archivo .
Como se discute en las secciones anteriores, puesto que el MTU eth1/1 en el router R1 se fija a 1400 bytes, la prueba del ping en el cliente mostrará los resultados abajo.

C:\Users\skadmin>ping 10.10.40.1 -f -l 1472
Pinging 10.10.40.1 with 1472 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
La razón para elegir 1472 Bytes como el tamaño para la primera prueba es porque el paquete completo será entonces 1500 Bytes.
Paquete completo = 20B ( IP encabezado) + 8B ( ICMP encabezado) + 1472B (carga útil) = 1500 bytes. 
Podemos ver que ICMP el mensaje "Fragmentación necesaria pero DF conjunto de bits" está regresando. 
Así que realizamos múltiples tales pruebas ping para averiguar el tamaño máximo del paquete que es capaz de llegar al servidor y de vuelta sin conseguir el fragmento.
C:\Users\admin>ping 10.10.40.1 -f -l 1440
Pinging 10.10.40.1 with 1440 bytes of data:
Packet needs to be fragmented but DF set.

C:\Users\admin>ping 10.10.40.1 -f -l 1350
Pinging 10.10.40.1 with 1350 bytes of data:
Reply from 10.10.40.1: bytes=1350 time=447ms TTL=58

C:\Users\skadmin>ping 10.10.40.1 -f -l 1380
Pinging 10.10.40.1 with 1380 bytes of data:
Packet needs to be fragmented but DF set.

C:\Users\admin>ping 10.10.40.1 -f -l 1372
Pinging 10.10.40.1 with 1372 bytes of data:
Reply from 10.10.40.1: bytes=1372 time=438ms TTL=58

C:\Users\admin>ping 10.10.40.1 -f -l 1373
Pinging 10.10.40.1 with 1373 bytes of data:
Packet needs to be fragmented but DF set.
El método Divide and conquer se ha utilizado para encontrar el valor Max donde el ping se realiza correctamente. 
De acuerdo con las salidas de prueba antedichas se puede ver que el ping trabaja cuando el tamaño es 1372 bytes y falla cuando es 1373 bytes. 
Esto significa que solamente un paquete de 1400 bytes será capaz de alcanzar el servidor y volver sin ser fragmentado.
1372 Bytes + ICMP encabezado 8 Bytes + IP encabezado 20 Bytes = 1400 Bytes. 

Para determinar el óptimo MSS que se puede utilizar, tome el resultado de la prueba anterior que es 1400 bytes y reste el valor potencial del encabezado y del TCP IP encabezado. 
1400 Bytes - ( IP encabezado 20 Bytes + TCP encabezado 20 Bytes) = 1360 Bytes
Así que el óptimo MSS que se puede utilizar es 1360 bytes

Cómo utilizar esto MSS óptimo:
La mayoría de los firewalls y enrutadores tienen la capacidad de ajustar el MSS valor en una conexión a través de TCP ellos.
Pueden reescribir el MSS valor en el y los paquetes SYN SYN ACK intercambiados entre el cliente y sever.
Esta característica se puede utilizar para establecer el MSS valor en el valor óptimo calculado MSS 1360 Bytes para que tanto el cliente como el servidor compilen sus segmentos solo en ese tamaño.
Una vez que se agregan los TCP IP encabezados y, a continuación, el tamaño del paquete completo será igual a 1400 bytes, que es el tamaño máximo del paquete que puede pasar sin fragmentación. 
Segmento 1360 Bytes + TCP encabezado 20 Bytes + IP encabezado 20 Bytes = 1400 Bytes.


Por lo tanto, el problema de fragmentación en la trayectoria se puede evitar para la TCP conexión y las caídas de paquetes se pueden evitar.
Tenga en cuenta que aunque ajustar el MSS valor en el problema resuelve el PA firewall problema, el problema no es causado por el Firewall .
El problema es causado por otros hosts de la ruta de acceso que tienen una configuración más MTU baja.

Activado PA firewall para ajustar el valor a MSS 1360 bytes, el tamaño de ajuste tiene que configurarse como 140 bytes.
1500 - 1360 = 140 bytes

Refiera el link abajo para configurar el valor del MSS ajuste. 
Configurar MSS ajustar el tamaño

Additional Information


Enlaces útiles adicionales:
cómo se produce automáticamente el ajuste para el tráfico sobre TCP MSS IPSEC túneles en PA firewalls
HOW THE PALO ALTO NETWORK FIREWALL HANDLES PACKETS THAT EXCEED THE MTU
HOW TO CONFIGURE MTU AND MSS SETTINGS FROM THE CLI
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PN0gCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language