通过使用 TCP MSS 限制,您可以减少在通过 IPSec 隧道建立连接期间 TCP 会话使用的最大分段大小 (MSS) 值。从 NSX-T Data Center 2.5 开始支持该功能。
TCP MSS 是主机希望在单个 TCP 分段中接受的最大数据量(以字节为单位)。TCP 连接的每一端在三向握手期间将所需的 MSS 值发送到对等端,其中 MSS 是 TCP SYN 数据包中使用的 TCP 标头选项之一。TCP MSS 是根据发送方主机的输出接口的最大传输单元 (MTU) 计算的。
在 TCP 流量通过 IPSec VPN 或任何类型的 VPN 隧道时,将在原始数据包中添加额外的标头以保证安全。对于 IPSec 隧道模式,使用的额外标头是 IP、ESP 和可选的 UDP(如果在网络中存在端口转换)。由于这些额外的标头,封装的数据包大小超出 VPN 接口的 MTU。根据 DF 策略,数据包可能会碎片化或被丢弃。
为了避免数据包碎片化或丢弃,您可以启用 TCP MSS 限制功能以调整 IPSec 会话的 MSS 值。导航到高级属性部分,然后启用 TCP MSS 限制。
。在添加 IPSec 会话或编辑现有会话时,展开您可以设置 TCP MSS 方向和 TCP MSS 值,以配置适用于 IPSec 会话的预计算 MSS 值。配置的 MSS 值用于 MSS 限制。您可以选择设置 TCP MSS 方向,并将 TCP MSS 值保留空白以使用动态 MSS 计算。MSS 值是根据 VPN 接口 MTU、VPN 开销以及已确定的路径 MTU (PMTU) 自动计算的。在每次 TCP 握手期间,将重新计算有效的 MSS 以动态处理 MTU 或 PMTU 变化。