安全产品USG5500替换思科pix防火墙时丢包

发布时间:  2012-12-03 浏览次数:  104 下载次数:  0
问题描述
USG5500采用V300R001C00SPC500版本,两台防火墙做负载分担,上联NE40E路由器,下联S9300交换机,客户原网络中部署思科PIX系列防火墙。USG5500割接入网后,发现部分省市网络不通,放开全部域间策略,问题仍未解决。
告警信息
处理过程
将USG设备MTU值改成1380或更小值。
根因
通过在NE40上抓包查看MSS值的变化,发现之前客户抓包的MSS值一直为1380,而割接后MSS值却变成了1514,这样就造成NE40的TCP请求一直得不到回应。从思科客服了解到,PIX隐藏命令中默认配置MTU值为1380,而我司设备为1460。TCP三次握手过程中,会协商本条会话的MSS值,若协商得到的MSS值大于传输过程中某台设备的MTU值,将会造成丢包。
建议与总结
友商一些设备的配置在隐藏命令行中,可以通过友商TAC进行咨询,解决割接过程中发生问题。

END