TCP MSS 鉗制可讓您減少在透過 IPSec 通道建立連線期間 TCP 工作階段所使用的最大區段大小 (MSS) 值。從 NSX-T Data Center 2.5 開始支援這個功能。
TCP MSS 是主機在單一 TCP 區段中能夠接受的最大資料量 (以位元組為單位)。TCP 連線的每一端皆會在三向信號交換期間將其需要的 MSS 值傳送至其對等端,其中 MSS 是 TCP SYN 封包中使用的其中一個 TCP 標頭選項。TCP MSS 是根據傳送者主機出口介面的傳輸單元最大值 (MTU) 來計算。
當 TCP 流量流過 IPSec VPN 或任何類型的 VPN 通道時,會將額外標頭新增至原始封包來保持安全。針對 IPSec 通道模式,所使用的額外標頭是 IP、ESP 和選擇性的 UDP (如果網路中出現連接埠轉譯)。由於這些額外標頭,封裝式封包的大小超過 VPN 介面的 MTU。封包可能會根據 DF 原則來分段或捨棄。
若要避免封包分段或捨棄,您可以啟用 TCP MSS 鉗制功能來調整 IPSec 工作階段的 MSS 值。導覽至進階內容區段,然後啟用TCP MSS 鉗制。
。當您要新增 IPSec 工作階段或編輯現有的 IPSec 工作階段時,請展開您可以設定 TCP MSS 方向及 TCP MSS 值,設定適用於 IPSec 工作階段的預先計算 MSS 值。所設定的 MSS 值是用於 MSS 鉗制。您可以設定 TCP MSS 方向並將 TCP MSS 值保留空白,來選擇使用動態 MSS 計算。當 MSS 值已決定時決定時,會根據 VPN 介面 MTU、VPN 額外負荷和路徑 MTU (PMTU) 自動計算 MSS 值。有效的 MSS 會在每個 TCP 信號交換期間重新計算,以動態處理 MTU 或 PMTU 變更。