Manuelle Einstellung des „TCP-MSS-Clamping“ am IPSec-Interface

261Aufrufe 8. November 2019 11

Manuelle Einstellung des „TCP-MSS-Clamping“ am IPSec-Interface

1. Vorbemerkungen

  • MSS = Maximum Segment Size
  • Bei Bedarf läßt sich bei IPv4 für TCP-Traffic das TCP-MSS-Clamping an IPSec-Interfaces manuell auf einen bestimmten Wert einstellen.
  • Im vorliegenden Beispiel wird ein bintec RS353jw mit Software-Version 10.2.7 verwendet, die Konfiguration erfolgt mittels GUI bzw. Telnet-Konsole.
  • Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Im Zuge der technischen Weiterentwicklung der Systemsoftware können sich Änderungen ergeben.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Grundsätzliches zum TCP-MSS-Clamping:

Dieses Verfahren sorgt dafür, dass die IP-Pakete während einer TCP-Verbindung nicht wegen Übergröße verworfen oder fragmentiert werden müssen. Bei IPSec-Interfaces wird nur der in ausgehender Richtung liegende TCP-Kommunikationspartner im initialen TCP-Handshake über den vom Router gewünschten (weil maximal empfangbaren) MSS-Wert informiert. Im Default-Fall arbeitet das TCP-MSS-Clamping hierbei mit dem Wert der MTU (Maximum Transmission Unit) des Interfaces.

2. Vorgehensweise auf der Kommandozeile der Konsole

An einem IPv4-Interface läßt sich für IPv4-TCP-Traffic der Wert der Maximum Segment Size (MSS) durch Setzen der MIB-Variablen „TcpMssClamping“ in der MIB-Tabelle „ipExtIfTable“ manuell vorgeben.

Die HTML-MIB-Reference sagt zu dieser Variablen „TcpMssClamping“:
„This object specifies whether TCP MSS clamping is enabled on the interface. -1 disables clamping, 0 clamps the MSS depending on the interface MTU. A value > 0 will be used as clamping size. Range: -1 to 32000“.

Vorgehensweise auf der Kommandozeile der Konsole zur Umstellung der Variablen „TcpMssClamping“ in der „ipExtIfTable“ vom Defaultwert 0 auf den Beispielwert 1200 Byte, z.B. im Datensatz für das IPSec-Interface mit inx 3 und Index 38100001:

rs353jw_ks:ipExtIfTable> Index TcpMssClamping

inx Index(*ro)                           TcpMssClamping(rw)

  0 1000000                              -1

  1 1040000                              -1

  2 35600000                             -1

  3 38100001                             0

rs353jw_ks:ipExtIfTable> TcpMssClamping:3=1200
  3: ipExtIfTcpMssClamping.38100001.5( rw):       1200
rs353jw_ks:ipExtIfTable>

 
Von nun an sollte bei allen neuen IPv4-TCP-Verbindungen über das IPSec-Interface mit Index = 38100001
dieser neue MSS-Wert berücksichtigt werden können (Wirkungsrichtung wie oben beschrieben).

3. Vorgehensweise in der GUI-Ansicht „SNMP-Browser“

In der „SNMP-Browser“-Ansicht der GUI erfolgt die Umstellung der Maximum Segment Size (MSS) für ein Interface unter IP, ipExtIfTable, Edit mittels der Variablen „ipExtIfTcpMssClamping“.

Beispiel in der GUI-Ansicht „SNMP-Browser“ unter IP, ipExtIfTable mit Editieren des Eintrags für das IPSec-Interface mit Index = 38100001 (Ausschnitt):


Bild 1: GUI-SNMP-Browser, Eingabebeispiel für ipExtIfTcpMssClamping = 1200 Byte (danach den abschließenden Klick auf „OK“ nicht vergessen!)

Auch hier gilt: Von nun an sollte bei allen neuen IPv4-TCP-Verbindungen über das IPSec-Interface mit Index = 38100001 dieser neue MSS-Wert berücksichtigt werden können (Wirkungsrichtung siehe oben).

4. Vorgehensweise in der GUI-Ansicht „Standard“

In der GUI-Ansicht „Standard“ ist die Einstellung der Maximum Segment Size (MSS) für ein IPSec-Interface leider nicht möglich.

5. Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

6. Basis

Erstellt: 7.11.2019
Stand: 8.11.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.7
kst26/2019

War die Antwort hilfreich