Die TCP-MSS-Klemmung ermöglicht es Ihnen, den Wert für die maximale Segmentgröße (MSS), der von einer TCP-Sitzung während des Verbindungsaufbaus über einen IPSec-Tunnel verwendet wird, zu reduzieren. Diese Funktion wird ab NSX-T Data Center 2.5 unterstützt.
TCP MSS entspricht der maximalen Datenmenge in Byte, die ein Host in einem einzigen TCP-Segment zu akzeptieren bereit ist. Jedes Ende einer TCP-Verbindung sendet seinen gewünschten MSS-Wert während eines 3-Wege-Handshake an das entsprechende Peer-Ende, wobei MSS eine der TCP-Kopfzeilenoptionen ist, die in einem TCP-SYN-Paket verwendet werden. TCP MSS wird basierend auf der maximalen Übertragungseinheit (MTU) der Egress-Schnittstelle des Sender-Hosts berechnet.
Wenn TCP-Datenverkehr durch ein IPSec-VPN oder eine beliebige Art von VPN-Tunnel geleitet wird, werden dem Originalpaket aus Sicherheitsgründen zusätzliche Kopfzeilen hinzugefügt. Für den IPSec-Tunnelmodus werden zusätzlich IP-, ESP- und optional UDP-Kopfzeilen verwendet (wenn eine Portübersetzung im Netzwerk vorhanden ist). Durch diese zusätzlichen Kopfzeilen geht die Größe des gekapselten Pakets über die MTU der VPN-Schnittstelle hinaus. Das Paket kann basierend auf der DF-Richtlinie fragmentiert oder verworfen werden.
Um die Fragmentierung oder das Verwerfen eines Pakets zu vermeiden, können Sie den MSS-Wert für die IPSec-Sitzung anpassen, indem Sie die Funktion „TCP-MSS-Klemmung“ aktivieren. Navigieren Sie zu Erweiterte Eigenschaften und aktivieren Sie TCP-MSS-Klemmung.
. Wenn Sie eine IPSec-Sitzung hinzufügen oder eine bestehende Sitzung bearbeiten, erweitern Sie den AbschnittSie können den vorberechneten MSS-Wert für die IPSec-Sitzung konfigurieren, indem Sie sowohl die TCP-MSS-Richtung als auch den TCP-MSS-Wert einstellen. Der konfigurierte MSS-Wert wird für das MSS Clamping verwendet. Sie können die dynamische MSS-Berechnung verwenden, indem Sie die TCP-MSS-Richtung festlegen und den TCP-MSS-Wert leer lassen. Der MSS-Wert wird basierend auf der VPN-Schnittstellen-MTU, dem VPN-Overhead und der Pfad-MTU (PMTU), wenn bereits festgelegt, automatisch berechnet. Der effektive MSS-Wert wird bei jedem TCP-Handshake neu berechnet, um die MTU- oder PMTU-Änderungen dynamisch zu verarbeiten.