通过使用 TCP MSS 限制,您可以减少在通过 VPN 隧道建立连接期间 TCP 会话使用的最大分段大小 (Maximum Segment Size, MSS) 值。
TCP MSS 是主机希望在单个 TCP 分段中接受的最大数据量(以字节为单位)。TCP 连接的每一端在三向握手期间将所需的 MSS 值发送到对等端,其中 MSS 是 TCP SYN 数据包中使用的 TCP 标头选项之一。发送方主机根据其输出接口的最大传输单元 (Maximum Transmission Unit, MTU) 计算 TCP MSS。
在 TCP 流量通过任何种类的 VPN 隧道时,将在原始数据包中添加额外的标头以保证安全。对于 IPSec 隧道模式,使用的额外标头是 IP、ESP 和可选的 UDP(如果在网络中存在端口转换)。由于这些额外的标头,封装的数据包大小超出 VPN 接口的 MTU。根据 DF 策略,可能会对数据包分片或丢弃数据包。
为了避免在 IPSec VPN 会话中发生数据包分片或丢弃,您可以启用 TCP MSS 限制功能以调整 IPSec 会话的 MSS 值。导航到。在添加 IPSec 会话或编辑现有会话时,展开高级属性部分,然后启用 TCP MSS 限制。默认情况下,将为 IPSec 会话禁用 TCP MSS 限制功能。
如果为 IPSec 会话启用了 TCP MSS 限制功能,您可以设置 TCP MSS 方向和 TCP MSS 值以配置适用于 IPSec 会话的预计算 MSS 值。配置的 MSS 值用于 MSS 限制。您可以选择设置 TCP MSS 方向,并将 TCP MSS 值保留空白以使用动态 MSS 计算。MSS 值是根据 VPN 接口 MTU、VPN 开销以及已确定的路径 MTU (PMTU) 自动计算的。在每次 TCP 握手期间,将重新计算有效的 MSS 以动态处理 MTU 或 PMTU 变化。有关详细信息,请参见添加基于策略的 IPSec 会话或添加基于路由的 IPSec 会话。
同样,对于 L2 VPN,仅在 L2 VPN 服务器会话中指定 TCP MSS 限制配置。您可以导航到。选择,然后展开高级属性部分。默认情况下,在自动计算模式下为两个方向启用 TCP MSS 限制,但您可以配置适用于拓扑的所需 TCP MSS 值或将其禁用。有关详细信息,请参见 添加 L2 VPN 服务器会话。
