TCP MSS 鉗制可讓您減少在透過 VPN 通道建立連線期間 TCP 工作階段所使用的最大區段大小 (MSS) 值。
TCP MSS 是主機在單一 TCP 區段中能夠接受的最大資料量 (以位元組為單位)。TCP 連線的每一端皆會在三向信號交換期間將其需要的 MSS 值傳送至其對等端,其中 MSS 是 TCP SYN 封包中使用的其中一個 TCP 標頭選項。傳送端主機會根據其出口介面的傳輸單元最大值 (MTU) 來計算 TCP MSS。
當 TCP 流量流過任何類型的 VPN 通道時,會將額外標頭新增至原始封包來保持安全。針對 IPSec 通道模式,所使用的額外標頭是 IP、ESP 和選擇性的 UDP (如果網路中出現連接埠轉譯)。由於這些額外標頭,封裝式封包的大小超過 VPN 介面的 MTU。封包可能會根據 DF 原則來分段或捨棄。
若要避免在 IPSec VPN 工作階段中發生封包分段或捨棄,您可以啟用 TCP MSS 鉗制功能來調整 IPSec 工作階段的 MSS 值。導覽至。當您要新增 IPSec 工作階段或編輯現有的 IPSec 工作階段時,請展開進階內容區段,然後啟用TCP MSS 鉗制。依預設,系統會為 IPSec 工作階段停用 TCP MSS 鉗制功能。
啟用 IPSec 工作階段的 TCP MSS 鉗制功能時,您可以設定 TCP MSS 方向及 TCP MSS 值,以設定適用於 IPSec 工作階段的預先計算 MSS 值。所設定的 MSS 值是用於 MSS 鉗制。您可以設定 TCP MSS 方向並將 TCP MSS 值保留空白,來選擇使用動態 MSS 計算。當 MSS 值已決定時決定時,會根據 VPN 介面 MTU、VPN 額外負荷和路徑 MTU (PMTU) 自動計算 MSS 值。有效的 MSS 會在每個 TCP 信號交換期間重新計算,以動態處理 MTU 或 PMTU 變更。請參閱新增以原則為基礎的 IPSec 工作階段或新增路由型 IPSec 工作階段以取得詳細資訊。
同樣地,針對 L2 VPN,僅在 L2 VPN 伺服器工作階段中才會提供 TCP MSS 鉗制組態。您可以導覽至。選取,然後展開進階內容區段。依預設會對使用自動計算模式啟用兩個方向的 TCP MSS 鉗制,但您可以設定適用於拓撲的所需 TCP MSS 值或將其停用。如需詳細資訊,請參閱新增 L2 VPN 伺服器工作階段。
