復号化されていないパケットは次の理由でドロップされます。MTUサイズを超えました

復号化されていないパケットは次の理由でドロップされます。MTUサイズを超えました

18606
Created On 01/26/22 00:39 AM - Last Modified 05/15/23 09:21 AM


Symptom


一部の Web サイトにアクセスしようとすると、次のようなエラーが発生します。
タイムアウトエラー
「」を使用してカウンタを確認する場合カウンターグローバルを表示"、パケットは次の理由でドロップされましたMTU超過したメッセージが表示される

Global counters:
Elapsed time since last sampling: 13.256 seconds

name                             value     rate severity  category  aspect    description
----------------------------------------------------------------------------------
pkt_sent                          3        0 info      packet    pktproc   Packets transmitted
flow_fwd_ip_df_drop               1        0 drop      flow      forward   Packets dropped: exceeded MTU but DF bit present <=======
flow_ip_cksm_sw_validation        5        0 info      flow      pktproc   Packets for which IP checksum validation was done in software

も確認できます。DF (フラグメント化しない) のパケット キャプチャで 1 に設定されます。IPヘッダ:
ユーザーが追加した画像


 

Environment


  • パロアルト VM-100 Firewall
  • PAN-OS 10.0
  • TCP/UDP渋滞

Resolution


  • このシナリオで試せる解決策の 1 つは、最大セグメント サイズ (MSS )サイズ。
  • 調整するMSSサイズにより、ヘッダーが長くなってもパケット長が許容値を超えないようにすることができます。MTU 。 もしDFビットが設定され、MTUこの値を超えると、より大きなパケットがドロップされます。

調整中MSS:
  1. GUI: [ネットワーク] > [インターフェイス] > [イーサネット]を選択します。VLAN 、またはループバック
  2. [詳細設定] > [その他の情報] を選択します。
  3. 調整を選択TCP MSS次のいずれかまたは両方の値を入力します。
  4. IPv4MSS調整サイズ
  5. IPv6MSS調整サイズ
  6. クリックOK専念変更
構成 MSS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MylCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language