未解密的数据包由于以下原因而被丢弃MTU超出尺寸

未解密的数据包由于以下原因而被丢弃MTU超出尺寸

18345
Created On 01/26/22 00:39 AM - Last Modified 05/15/23 09:25 AM


Symptom


尝试访问某些网站时会出现以下错误:
超时错误
使用“查看计数器时显示柜台全球", 丢包由于MTU看到超出的消息

Global counters:
Elapsed time since last sampling: 13.256 seconds

name                             value     rate severity  category  aspect    description
----------------------------------------------------------------------------------
pkt_sent                          3        0 info      packet    pktproc   Packets transmitted
flow_fwd_ip_df_drop               1        0 drop      flow      forward   Packets dropped: exceeded MTU but DF bit present <=======
flow_ip_cksm_sw_validation        5        0 info      flow      pktproc   Packets for which IP checksum validation was done in software

也可以确认DF(不要分段)在数据包捕获中设置为 1IP标头:
用户添加的图像


 

Environment


  • 帕洛阿尔托 VM-100 Firewall
  • PAN-OS 10.0
  • TCP/UDP交通

Resolution


  • 在这种情况下可以尝试的一种解决方案是调整最大段大小 (MSS )尺寸。
  • 调整MSSsize 将确保更长的标头不会导致数据包长度超过允许的MTU. 如果DF位被设置和MTU超过时,较大的数据包将被丢弃。

调整中MSS:
  1. GUI: 网络 > 接口 > 选择以太网,VLAN , 或环回
  2. 选择高级 > 其他信息
  3. 选择调整TCP MSS并为以下一项或两项输入一个值:
  4. IPv4MSS调整尺寸
  5. IPv6MSS调整尺寸
  6. 点击OK犯罪变化
配置 MSS
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MylCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language