防火墙处理分片

在VXLAN网络中，由于VXLAN头部的加入，原始报文的大小会增加，这可能导致原本在传统网络中能通过的分片在VXLAN网络中无法通过。这是因为VXLAN报文的总长度超过了设备的MTU值，导致设备无法转发。

为了解决这个问题，你可以尝试以下方法：

1. **调整MTU值**：将VXLAN隧道的MTU值设置得足够大，以容纳VXLAN头部和原始报文。通常，VXLAN头部大小为50字节，因此如果原始网络的MTU值为1500字节，VXLAN隧道的MTU值应设置为1550字节。

2. **调整TCP MSS**：为了防止TCP报文在VXLAN网络中分片，可以调整TCP MSS值。TCP MSS值应设置为VXLAN隧道的MTU值减去VXLAN头部大小和IP头部大小（通常为20字节）。例如，如果VXLAN隧道的MTU值为1550字节，TCP MSS值应设置为1550 - 50 - 20 = 1480字节。

3. **检查防火墙配置**：确保防火墙没有阻止VXLAN流量。检查防火墙的ACL规则，确保VXLAN流量被允许通过。

4. **检查设备配置**：确保设备的VXLAN配置正确，包括VXLAN ID、源地址和目的地址等。

5. **抓包分析**：使用抓包工具（如Wireshark）来分析网络流量，确定问题的根源。

请注意，调整MTU和TCP MSS值可能会影响网络性能，因此在调整这些值时需要谨慎。在调整后，应进行测试以确保网络性能没有受到影响。