Marco Jumbo: Ajuste MSS en interfaces con MTU

34859

Created On 09/22/20 03:32 AM - Last Modified 03/26/21 18:38 PM

Symptom

Cuando Jumbo Frame está habilitado globalmente pero se especifica la MTU interfaz, la interfaz hereda su MSS valor del Jumbo MTU después de contabilizar y TCP IP sobrecargar.
En la ilustración siguiente, el puerto en el firewall se configura con un de MTU 1500 bytes mientras se empareja con otro sistema a través BGP de esa interfaz.
Aviso de la captura de paquetes mostrada: el firewall está enviando un tamaño de TCP MSS 9176 bytes en el paquete inicial SYN sobre la interfaz. Este valor se toma de la MTU configuración global.

GUI : Sesión de > de configuración del dispositivo >:

Establecer Jumbo MTU

GUI: Interfaces de > de red > interfaz > avanzada > otra información:

Imagen de usuario añadido

Captura de paquetes:

SYN Captura de paquetes

Environment

Toda la versión de PAN-OS
Todo hardware / VM- serie NGFW
Jumbo Frame está habilitado en el sistema

Cause

Cuando Jumbo Frame está habilitado, se aplica globalmente incluso en interfaces que tienen un especificado MTU . Esto puede provocar problemas de red.
Por ejemplo, un BGP par podría enviar actualizaciones masivas (por encima de 1460 bytes) al puesto que firewall publicitó 'Jumbo' MSS en su TCP SYN paquete. Porque este tipo de actualizaciones tiene típicamente el conjunto de BGP bits No fragmentar ( DF ), el firewall caerá estos paquetes porque la carga útil del paquete excede el tamaño máximo del segmento que la interfaz receptora puede manejar/procesar sin fragmentación.

Resolution

Deshabilite los protocolos de ruteo dinámico BGP (como) y/o borre todas las TCP sesiones en el dispositivo.
Ajuste TCP MSS en el nivel de interfaz:

GUI: Interfaces de > de red > interfaz > avanzada > otra información:

Ajust MSS

Cometer
Volver a habilitar los protocolos de enrutamiento

Resultado:

Additional Information