La restriction MSS TCP vous permet de réduire la valeur de taille maximale de segment (MSS) utilisée par une session TCP lors de l'établissement de la connexion via un tunnel IPSec. Cette fonctionnalité est prise en charge à partir de la version NSX-T Data Center 2.5.
MSS TCP représente la quantité maximale de données en octets qu'un hôte est disposé à accepter dans un segment TCP unique. Chaque extrémité d'une connexion TCP envoie la valeur MSS souhaitée à son homologue pendant une liaison à trois voies, où MSS est l'une des options d'en-tête TCP utilisées dans un paquet TCP SYN. MSS TCP est calculé en fonction de l'unité de transmission maximale (MTU) de l'interface de sortie de l'hôte émetteur.
Lorsqu'un trafic TCP passe par un VPN IPSec ou tout type de tunnel VPN, des en-têtes supplémentaires sont ajoutés au paquet d'origine pour en garantir la sécurité. Pour le mode tunnel IPSec, les en-têtes supplémentaires utilisés sont IP, ESP et éventuellement UDP (si la traduction du port est présente sur le réseau). En raison de ces en-têtes supplémentaires, la taille du paquet encapsulé est supérieure à celle de la MTU de l'interface VPN. Le paquet peut être fragmenté ou abandonné en fonction de la stratégie DF.
Pour éviter la fragmentation ou l'abandon des paquets, vous pouvez ajuster la valeur MSS pour la session IPSec en activant la fonctionnalité de restriction MSS TCP. Accédez à Propriétés avancées et activez Restriction MSS TCP.
. Lorsque vous ajoutez une session IPSec ou que vous modifiez une session existante, développez la sectionVous pouvez configurer la valeur MSS précalculée adaptée à la session IPSec en définissant les paramètres Direction MSS TCP et Valeur MSS TCP. La valeur MSS configurée est utilisée pour la restriction MSS. Vous pouvez, si vous le souhaitez, utiliser le calcul MSS dynamique en définissant le paramètre Direction MSS TCP et en laissant le paramètre Valeur MSS TCP vide. La valeur MSS est calculée automatiquement en fonction de la MTU de l'interface VPN, de la capacité supplémentaire du VPN et de la MTU de chemin (PMTU) lorsqu'elle est déjà déterminée. La valeur MSS effective est recalculée pendant chaque liaison TCP pour gérer les modifications de MTU ou de PMTU de façon dynamique.