Jumbo-Rahmen: Anpassen MSS an Schnittstellen mit Custom MTU

34905

Created On 09/22/20 03:32 AM - Last Modified 03/26/21 18:38 PM

Symptom

Wenn Jumbo Frame global aktiviert ist, aber die Schnittstelle MTU angegeben ist, erbt die Schnittstelle ihren MSS Wert vom Jumbo nach Berücksichtigung und MTU TCP IP Overhead.
In der folgenden Abbildung ist der Port auf der firewall mit einem von 1500 Bytes konfiguriert, während ein MTU Peering mit einem anderen System über BGP diese Schnittstelle.
Beachten Sie die angezeigte Paketerfassung: Der firewall sendet eine Größe von TCP MSS 9176 Bytes im ursprünglichen SYN Paket über die Schnittstelle. Dieser Wert wird aus der globalen MTU Einstellung entnommen.

GUI : Device > Setup > Session:

Set Jumbo MTU

GUI: Network > Interfaces > Interface > Advanced > Andere Informationen:

Benutzeriertes Bild

Paketerfassung:

SYN Paket Erfassung

Environment

Alle Versionen von PAN-OS
Alle hardware / VM- Serie NGFW
Jumbo Frame ist auf dem System aktiviert

Cause

Wenn Jumbo Frame aktiviert ist, wird es global auch auf Schnittstellen angewendet, die über eine angegebene MTU verfügen. Dies kann zu Netzwerkproblemen führen.
Beispielsweise könnte ein BGP Peer Massenaktualisierungen (über 1460 Bytes) an die senden, firewall da er "Jumbo" in seinem Paket angekündigt MSS TCP SYN hat. Da diese Art von BGP Updates in der Regel das Bit "Nicht Fragmentieren" ( DF ) festgelegt hat, firewall werden diese Pakete abgelegt, da die Paketnutzlast die maximale Segmentgröße überschreitet, die die empfangende Schnittstelle ohne Fragmentierung verarbeiten/verarbeiten kann.

Resolution

Deaktivieren Sie dynamische Routingprotokolle (wie BGP ) und/oder löschen Sie alle TCP Sitzungen auf dem Gerät.
Anpassen TCP MSS auf Schnittstellenebene:

GUI: Netzwerk->-Schnittstellen > Schnittstelle > Advanced > Andere Informationen:

Ajust MSS

begehen
Routingprotokolle neu aktivieren

Ergebnis:

Additional Information