Jumbo Frame: Réglage sur MSS les interfaces avec custom MTU

34907

Created On 09/22/20 03:32 AM - Last Modified 03/26/21 18:38 PM

Symptom

Lorsque Jumbo Frame est activé globalement mais que l’interface MTU est spécifiée, l’interface hérite de MSS sa valeur du Jumbo après avoir tenu compte et frais MTU TCP IP généraux.
Dans l’illustration ci-dessous, le port sur le firewall est configuré avec MTU un octets de 1500 tout en regardant avec un autre système à BGP travers sur cette interface.
Avis de la capture de paquet s’affiche: firewall l’envoi TCP MSS d’une taille de 9176 octets dans le paquet initial SYN sur l’interface. Cette valeur est tirée du contexte MTU mondial.

GUI : Configuration de >'> :

Ensemble Jumbo MTU

GUI: Interfaces de > réseau > interface > > autres informations :

Image ajoutée par l'utilisateur

Capture de paquets :

SYN Capture de paquets

Environment

Toute la version de PAN-OS
Tous hardware / VM- séries NGFW
Jumbo Frame est activé sur le système

Cause

Lorsque Jumbo Frame est activé, il s’applique globalement même sur les interfaces qui ont un spécifié MTU . Cela peut entraîner des problèmes de réseau.
Par exemple, un pair BGP peut envoyer des mises à jour en vrac (au-dessus de 1460 octets) à la depuis firewall qu’il a annoncé MSS « Jumbo » dans son TCP SYN paquet. Étant donné que ces types BGP de mises à jour ont généralement le ne fragmente pas DF () bit set, le firewall va laisser tomber ces paquets parce que la charge utile paquet dépasse la taille maximale du segment de l’interface de réception peut gérer / traiter sans fragmentation.

Resolution

Désactiver les protocoles de routage dynamique BGP (comme) et/ou effacer toutes les TCP sessions de l’appareil.
Ajustez TCP MSS au niveau de l’interface :

GUI: Interfaces > réseau > interface > les > autres informations :

Ajust (ajust) MSS

commettre
Ré-activer les protocoles de routage

Résultat:

Additional Information