Настройка параметра MSS для туннеля VPN IPSec в ZyWALL USG

Иногда алгоритм автоопределения размера MSS для туннеля VPN IPSec не срабатывает. При перекачке больших пакетов, либо они вообще не проходят, либо очень медленно. Можно попробовать выставить значение MSS вручную. Как вручную изменить значение MSS для туннеля IPSec VPN в аппаратном шлюзе ZyWALL USG?

В шлюзах безопасности серии ZyWALL USG можно при необходимости устанавливать вручную размер MSS (максимальный размер сегмента) для туннеля VPN IPSec. 

MSS (Maximum Segment Size) является параметром протокола TCP и определяет максимальный размер блока данных в байтах для TCP-пакета (сегмента). Таким образом, этот параметр не учитывает длину заголовков TCP и IP. Для установления корректной TCP-сессии с удаленным хостом должно соблюдаться следующее условие:

MSS + заголовок TCP + заголовок IP ≤ MTU

Таким образом, максимальный размер MSS = MTU - размер заголовка IPv4 - размер заголовка TCP

При установке соединения узлы обмениваются информацией о максимальном размере сегмента, который каждый из них сможет принять.
В некоторых случаях установка размера MSS внутри туннеля VPN IPSec необходима для прохождения через туннель больших пакетов. Особенно это может пригодиться, если ZyWALL USG подключается к устройству или серверу, который не регулирует этот параметр автоматически, или если автоматическая настройка определения размера MSS не сработает.

Для настройки размера MSS в аппаратном шлюзе серии ZyWALL USG зайдите в веб-конфигураторе в меню Configuration > VPN > IPSec VPN > закладка VPN Connection. Выберите правило, для которого необходимо поменять/установить размер MSS, и нажмите кнопку Edit. В окне редактирования правила VPN Conneсtion в верхнем левом углу нажмите Show Advanced Settings для отображения дополнительных параметров. Только после этого появляются настройки MSS.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В MSS Adjustment по умолчанию установлен параметр Auto, т.е. устройство автоматически будет определять размер MSS.

Если нужно установить параметр вручную, необходимо установить режим Custom Size и указать нужное значение.

Для аппаратного шлюза ZyWALL 1050 (в нем размер MSS можно установить только через командную строку) или для того, чтобы установить размер MSS в ZyWALL USG через командную строку, необходимо подключиться к устройству через протокол SSH, Telnet или консольной порт и выполнить следующие команды:

Router> configure terminal          /вход в режим конфигурирования/

Router(config)# crypto map test          /вход в настройки VPN Connection, в котором нужно поменять размер MSS, test - это имя настройки фазы 2 (phase 2)/

Router(config-crypto test)# adjust-mss
<200..1500>   auto

Router(config-crypto test)# adjust-mss XX          /XX - значение параметра MSS от 200 до 1500/


Внимание! В аппаратном шлюзе серии ZyWALL USG должна быть установлена микропрограмма версии 3.00 или выше.

Также обращаем ваше внимание, что настроить размер MTU (максимальный размер блока при передаче) для туннеля IPSec VPN нельзя, т.к. заголовок IPSec-пакета зашифрован.

KB-2778

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.