Die TCP-MSS-Klemmung ermöglicht es Ihnen, den Wert für die maximale Segmentgröße (MSS), der von einer TCP-Sitzung während des Verbindungsaufbaus über einen VPN-Tunnel verwendet wird, zu reduzieren.
TCP MSS entspricht der maximalen Datenmenge in Byte, die ein Host in einem einzigen TCP-Segment zu akzeptieren bereit ist. Jedes Ende einer TCP-Verbindung sendet seinen gewünschten MSS-Wert während des 3-Wege-Handshake an das entsprechende Peer-Ende, wobei MSS eine der TCP-Kopfzeilenoptionen ist, die in einem TCP-SYN-Paket verwendet werden. Der Absender-Host berechnet die TCP-MSS basierend auf der maximalen Übertragungseinheit (MTU) der Egress-Schnittstelle.
Wenn TCP-Datenverkehr durch eine beliebige Art von VPN-Tunnel geleitet wird, werden dem Originalpaket aus Sicherheitsgründen zusätzliche Kopfzeilen hinzugefügt. Für den IPSec-Tunnelmodus werden zusätzlich IP-, ESP- und optional UDP-Kopfzeilen verwendet (wenn eine Portübersetzung im Netzwerk vorhanden ist). Durch diese zusätzlichen Kopfzeilen geht die Größe des gekapselten Pakets über die MTU der VPN-Schnittstelle hinaus. Das Paket kann basierend auf der DF-Richtlinie fragmentiert oder verworfen werden.
Um die Fragmentierung oder das Verwerfen eines Pakets in einer IPSec-VPN-Sitzung zu vermeiden, können Sie den MSS-Wert für die IPSec-Sitzung anpassen, indem Sie die Funktion „TCP-MSS-Klemmung“ aktivieren. Navigieren Sie zu . Wenn Sie eine IPSec-Sitzung hinzufügen oder eine bestehende Sitzung bearbeiten, erweitern Sie den Abschnitt Erweiterte Eigenschaften und aktivieren Sie TCP-MSS-Klemmung. Standardmäßig ist die Funktion „TCP-MSS-Klemmung“ für eine IPSec-Sitzung deaktiviert.
Wenn die Funktion „TCP MSS-Klemmung“ für eine IPSec-Sitzung aktiviert ist, können Sie den vorberechneten MSS-Wert für die IPSec-Sitzung konfigurieren, indem Sie sowohl die TCP-MSS-Richtung als auch den TCP-MSS-Wert festlegen. Der konfigurierte MSS-Wert wird für das MSS Clamping verwendet. Sie können die dynamische MSS-Berechnung verwenden, indem Sie die TCP-MSS-Richtung festlegen und den TCP-MSS-Wert leer lassen. Der MSS-Wert wird basierend auf der VPN-Schnittstellen-MTU, dem VPN-Overhead und der Pfad-MTU (PMTU), wenn bereits festgelegt, automatisch berechnet. Der effektive MSS-Wert wird bei jedem TCP-Handshake neu berechnet, um die MTU- oder PMTU-Änderungen dynamisch zu verarbeiten. Weitere Informationen hierzu finden Sie unter Hinzufügen einer richtlinienbasierten IPSec-Sitzung oder Hinzufügen einer routenbasierten IPSec-Sitzung.
In ähnlicher Weise wird die Konfiguration der TCP-MSS-Klemmung für L2-VPN nur in der L2-VPN-Serversitzung angegeben. Sie können zu navigieren. Wählen Sie und erweitern Sie den Abschnitt Erweiterte Eigenschaften. Die TCP-MSS-Klemmung ist standardmäßig für beide Richtungen im automatischen Berechnungsmodus aktiviert, aber Sie können einen gewünschten TCP-MSS-Wert konfigurieren, der für die Topologie geeignet ist, oder die Funktion deaktivieren. Weitere Informationen hierzu finden Sie unter Hinzufügen einer L2-VPN-Server-Sitzung.
