TCP MSS クランプを使用すると、VPN トンネルを介した接続の確立中に TCP セッションで使用される最大セグメント サイズ (MSS) 値を削減できます。
TCP MSS は、ホストが単一の TCP セグメントで許容される最大データ量(バイト単位)です。TCP 接続の各終端は、3 ウェイ ハンドシェイク中に目的の MSS 値をピアエンドに送信します。MSS は TCP SYN パケットで使用される TCP ヘッダー オプションの 1 つです。送信元のホストは、出力方向のインターフェイスの最大転送ユニット (MTU) に基づいて TCP MSS を計算します。
TCP トラフィックが任意の VPN トンネルを通過すると、元のパケットにヘッダーが追加され、セキュリティが維持されます。IPSec トンネル モードの場合、使用される追加ヘッダーは、IP アドレス、ESP、UDP(ネットワークにポート変換が存在する場合)です。これらの追加ヘッダーにより、カプセル化されたパケットのサイズが VPN インターフェイスの MTU を超過します。パケットは、DF ポリシーに基づいて断片化またはドロップする可能性があります。
IPSec VPN セッションでパケットの断片化またはドロップを回避するには、TCP MSS クランプ機能を有効にして、IPSec セッションの MSS 値を調整します。 の順に移動します。IPSec セッションを追加するか、既存のセッションを編集する場合は、[詳細なプロパティ] セクションを展開し、[TCP MSS クランプ] を有効にします。IPSec セッションでは、TCP MSS クランプ機能はデフォルトで無効になっています。
IPSec セッションで TCP MSS クランプ機能が有効になっている場合、[TCP MSS の方向] と [TCP MSS 値] 両方を設定し、IPSec セッションに適した事前計算済みの MSS 値を構成できます。構成した MSS 値が MSS クランプに使用されます。MSS を動的に計算する場合は、[TCP MSS の方向] を設定し、[TCP MSS 値] は空白のままにします。MSS 値は、VPN インターフェイスの MTU、VPN のオーバーヘッド、パスの MTU (PMTU) に基づいて自動的に計算されます。MTU または PMTU の変更を動的に処理するため、各 TCP ハンドシェイクで有効な MSS が再計算されます。詳細については、ポリシーベース IPsec セッションの追加またはルートベース IPsec セッションの追加を参照してください。
同様に、L2 VPN の場合、TCP MSS クランプ構成は L2 VPN サーバ セッションでのみ使用されます。 の順に移動します。 の順に選択し、[詳細プロパティ] セクションを展開します。デフォルトでは、TCP MSS クランプは自動計算モードの両方の方向で有効になっていますが、トポロジに適した TCP MSS の値を構成するか、無効にすることができます。詳細については、L2 VPN サーバ セッションの追加を参照してください。
