TCP MSS クランプを使用すると、IPsec トンネルを介した接続の確立中に TCP セッションで使用される最大セグメント サイズ (MSS) 値を削減できます。この機能は、NSX-T Data Center 2.5 以降でサポートされています。
TCP MSS は、ホストが単一の TCP セグメントで許容される最大データ量(バイト単位)です。TCP 接続の各終端は、3 ウェイ ハンドシェイク中に目的の MSS 値をピアエンドに送信します。MSS は TCP SYN パケットで使用される TCP ヘッダー オプションの 1 つです。TCP MSS は、送信側ホストの出力方向インターフェイスの最大転送ユニット (MTU) に基づいて計算されます。
TCP トラフィックが IPsec VPN または任意の VPN トンネルを通過すると、元のパケットにヘッダーが追加され、セキュリティが維持されます。IPsec トンネル モードの場合、使用される追加ヘッダーは、IP アドレス、ESP、および UDP(ネットワークにポート変換が存在する場合)です。これらの追加ヘッダーにより、カプセル化されたパケットのサイズが VPN インターフェイスの MTU を超過します。パケットは、DF ポリシーに基づいて断片化またはドロップする可能性があります。
パケットの断片化またはドロップを回避するには、TCP MSS クランプ機能を有効にして、IPsec セッションの MSS 値を調整します。[詳細なプロパティ] セクションを展開し、[TCP MSS クランプ] を有効にします。
の順に移動します。IPsec セッションを追加するか、既存のセッションを編集する場合は、IPsec セッションに適した計算済みの MSS 値を構成するには、[TCP MSS の方向] と [TCP MSS 値] の両方を設定します。構成した MSS 値が MSS クランプに使用されます。MSS を動的に計算する場合は、[TCP MSS の方向] を設定し、[TCP MSS 値] は空白のままにします。MSS 値は、VPN インターフェイスの MTU、VPN のオーバーヘッド、パスの MTU (PMTU) に基づいて自動的に計算されます。MTU または PMTU の変更を動的に処理するため、各 TCP ハンドシェイクで有効な MSS が再計算されます。