Manuelle Einstellung des “TCP-MSS-Clamping” am IPSec-Interface
Inhaltsverzeichnis
1. Vorbemerkungen
- MSS = Maximum Segment Size
- Bei Bedarf läßt sich bei IPv4 für TCP-Traffic das TCP-MSS-Clamping an IPSec-Interfaces manuell auf einen bestimmten Wert einstellen.
- Im vorliegenden Beispiel wird ein bintec RS353jw mit Software-Version 10.2.7 verwendet, die Konfiguration erfolgt mittels GUI bzw. Telnet-Konsole.
- Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
- Im Zuge der technischen Weiterentwicklung der Systemsoftware können sich Änderungen ergeben.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Grundsätzliches zum TCP-MSS-Clamping:
Dieses Verfahren sorgt dafür, dass die IP-Pakete während einer TCP-Verbindung nicht wegen Übergröße verworfen oder fragmentiert werden müssen. Bei IPSec-Interfaces wird nur der in ausgehender Richtung liegende TCP-Kommunikationspartner im initialen TCP-Handshake über den vom Router gewünschten (weil maximal empfangbaren) MSS-Wert informiert. Im Default-Fall arbeitet das TCP-MSS-Clamping hierbei mit dem Wert der MTU (Maximum Transmission Unit) des Interfaces.
2. Vorgehensweise auf der Kommandozeile der Konsole
An einem IPv4-Interface läßt sich für IPv4-TCP-Traffic der Wert der Maximum Segment Size (MSS) durch Setzen der MIB-Variablen “TcpMssClamping” in der MIB-Tabelle “ipExtIfTable” manuell vorgeben.
Die HTML-MIB-Reference sagt zu dieser Variablen “TcpMssClamping”:
“This object specifies whether TCP MSS clamping is enabled on the interface. -1 disables clamping, 0 clamps the MSS depending on the interface MTU. A value > 0 will be used as clamping size. Range: -1 to 32000”.
Vorgehensweise auf der Kommandozeile der Konsole zur Umstellung der Variablen “TcpMssClamping” in der “ipExtIfTable” vom Defaultwert 0 auf den Beispielwert 1200 Byte, z.B. im Datensatz für das IPSec-Interface mit inx 3 und Index 38100001:
rs353jw_ks:ipExtIfTable> Index TcpMssClamping
inx Index(*ro) TcpMssClamping(rw)
0 1000000 -1
1 1040000 -1
2 35600000 -1
3 38100001 0
rs353jw_ks:ipExtIfTable> TcpMssClamping:3=1200
3: ipExtIfTcpMssClamping.38100001.5( rw): 1200
rs353jw_ks:ipExtIfTable>
Von nun an sollte bei allen neuen IPv4-TCP-Verbindungen über das IPSec-Interface mit Index = 38100001
dieser neue MSS-Wert berücksichtigt werden können (Wirkungsrichtung wie oben beschrieben).
3. Vorgehensweise in der GUI-Ansicht “SNMP-Browser”
In der “SNMP-Browser”-Ansicht der GUI erfolgt die Umstellung der Maximum Segment Size (MSS) für ein Interface unter IP, ipExtIfTable, Edit mittels der Variablen “ipExtIfTcpMssClamping”.
Beispiel in der GUI-Ansicht “SNMP-Browser” unter IP, ipExtIfTable mit Editieren des Eintrags für das IPSec-Interface mit Index = 38100001 (Ausschnitt):
Bild 1: GUI-SNMP-Browser, Eingabebeispiel für ipExtIfTcpMssClamping = 1200 Byte (danach den abschließenden Klick auf “OK” nicht vergessen!)
Auch hier gilt: Von nun an sollte bei allen neuen IPv4-TCP-Verbindungen über das IPSec-Interface mit Index = 38100001 dieser neue MSS-Wert berücksichtigt werden können (Wirkungsrichtung siehe oben).
4. Vorgehensweise in der GUI-Ansicht “Standard”
In der GUI-Ansicht “Standard” ist die Einstellung der Maximum Segment Size (MSS) für ein IPSec-Interface leider nicht möglich.
5. Abschlußbemerkung
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
6. Basis
Erstellt: 7.11.2019
Stand: 8.11.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.7
kst26/2019