La restriction MSS TCP vous permet de réduire la valeur de taille maximale de segment (MSS) utilisée par une session TCP lors de l'établissement de la connexion via un tunnel VPN.

MSS TCP représente la quantité maximale de données en octets qu'un hôte est disposé à accepter dans un segment TCP unique. Chaque extrémité d'une connexion TCP envoie la valeur MSS souhaitée à son homologue pendant la liaison à trois voies, où MSS est l'une des options d'en-tête TCP utilisées dans un paquet TCP SYN. L'hôte émetteur calcule le MSS TCP en fonction de l'unité de transmission maximale (MTU) de son interface de sortie.

Lorsqu'un trafic TCP passe par tout type de tunnel VPN, des en-têtes supplémentaires sont ajoutés au paquet d'origine pour en garantir la sécurité. Pour le mode tunnel IPSec, les en-têtes supplémentaires utilisés sont IP, ESP et éventuellement UDP (si une traduction de port est présente sur le réseau). En raison de ces en-têtes supplémentaires, la taille du paquet encapsulé est supérieure à celle de la MTU de l'interface VPN. Le paquet peut être fragmenté ou abandonné en fonction de la stratégie DF.

Pour éviter la fragmentation ou l'abandon des paquets dans une session VPN IPSec, vous pouvez ajuster la valeur MSS pour la session IPSec en activant la fonctionnalité de restriction MSS TCP. Accédez à Mise en réseau > VPN > Sessions IPSec. Lorsque vous ajoutez une session IPSec ou que vous modifiez une session existante, développez la section Propriétés avancées et activez Restriction MSS TCP. Par défaut, la fonctionnalité Restriction MSS TCP est désactivée pour une session IPSec.

Lorsque la fonctionnalité Restriction MSS TCP est activée pour une session IPSec, vous pouvez configurer la valeur MSS précalculée adaptée à la session IPSec en définissant les paramètres Direction MSS TCP et Valeur MSS TCP. La valeur MSS configurée est utilisée pour la restriction MSS. Vous pouvez, si vous le souhaitez, utiliser le calcul MSS dynamique en définissant le paramètre Direction MSS TCP et en laissant le paramètre Valeur MSS TCP vide. La valeur MSS est calculée automatiquement en fonction de la MTU de l'interface VPN, de la capacité supplémentaire du VPN et de la MTU de chemin (PMTU) lorsqu'elle est déjà déterminée. La valeur MSS effective est recalculée pendant chaque liaison TCP pour gérer les modifications de MTU ou de PMTU de façon dynamique. Pour plus d'informations, reportez-vous à la section Ajouter une session IPSec basée sur les stratégies ou Ajout d'une session IPSec basée sur une route.

De la même façon, pour VPN L2, la configuration de Restriction MSS TCP n'est donnée que dans la session de serveur VPN L2. Vous pouvez accéder à Mise en réseau > VPN > Sessions VPN de couche 2. Sélectionnez Ajouter une session VPN de couche 2 > Serveur VPN de couche 2 et développez la section Propriétés avancées. La fonctionnalité Restriction MSS TCP est activée par défaut pour les deux directions avec le mode de calcul automatique, mais vous pouvez configurer une valeur MSS TCP adaptée à la topologie ou la désactiver. Pour plus d'informations, reportez-vous à la section Ajouter une session de serveur VPN L2.