巨无霸框架: MSS 调整与自定义接口 MTU

巨无霸框架: MSS 调整与自定义接口 MTU

34823
Created On 09/22/20 03:32 AM - Last Modified 03/26/21 18:38 PM


Symptom


当巨无霸框架在全球启用,但界面 MTU 被指定时,接口 MSS 在 MTU 核算 TCP 和 IP 间接费用
后从巨无霸继承其价值。在下图中,上面的端口 firewall 配置为 MTU 1500 字节,同时通过 BGP 该界面与另一个系统进行窥视。
从数据包捕获中显示的通知: firewall 在 TCP MSS 接口上发送初始数据包中的 9176 字节 SYN 大小。 此值取自全球 MTU 设置


GUI 。 设备>设置>会话:

设置巨无霸 MTU


GUI网络>接口>接口>高级>其他信息:

用户添加的图像

数据包捕获:

SYN 数据包捕获

 

Environment


  • 所有版本 PAN-OS
  • 全部 hardware / VM- 系列 NGFW
  • 系统启用巨型框架

Cause


当巨无霸框架启用时,它适用于全球,即使在具有指定的界面 MTU 。 这可能导致网络问题。
例如, BGP 同行可以将批量更新(高于 1460 字节)发送到 firewall 其包中广告"Jumbo" MSS TCP SYN 的广告。 由于这些类型的 BGP 更新通常设置为 "不要碎片"() DF 位设置, firewall 因此会丢弃这些数据包,因为数据包的有效载荷超过了接收界面可以处理/处理的最大段大小,而不会碎裂。



 

Resolution


  1. 禁用动态路由协议(如 BGP )和/或清除 TCP 设备上的所有会话。
  2. TCP MSS在接口级别进行调整:
GUI: 网络>接口>接口>高级>其他信息:

只是 MSS
  1. 提交
  2. 重新启用路由协议

结果
 
用户添加的图像


 

Additional Information


  • 我们建议在更改窗口期间应用这些更改。
  • 在接口级别不需要的情况下启用巨无霸框架的使用案例很少。 因此,如果目前不需要巨无霸框架,建议是将其禁用。 否则,每个不参与巨型框架的界面必须手动调整。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAolCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language