所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

安全产品USG5500替换思科pix防火墙时丢包

发布时间:  2019-07-19 浏览次数:  259 下载次数:  0

问题描述

USG5500采用V300R001C00SPC500版本,两台防火墙做负载分担,上联NE40E路由器,下联S9300交换机,客户原网络中部署某厂商防火墙。USG5500割接入网后,发现部分省市网络不通,放开全部域间策略,问题仍未解决。

告警信息

处理过程

将USG设备MTU值改成1380或更小值。

根因

通过在NE40上获取交互报文查看MSS值的变化,发现之前客户获取的报文的MSS值一直为1380,而割接后MSS值却变成了1514,这样就造成NE40的TCP请求一直得不到回应。从厂商了解到,该设备默认配置MTU值为1380,而我司设备为1460。TCP三次握手过程中,会协商本条会话的MSS值,若协商得到的MSS值大于传输过程中某台设备的MTU值,将会造成丢包。

建议与总结

友商一些设备的配置在隐藏命令行中,可以通过友商TAC进行咨询,解决割接过程中发生问题。

END