无
用户反馈使用F1050与F1020防火墙对接IPSEC VPN,访问对端宝利通MCU视频终端时可以到达登陆界面,但是输入用户名和密码后点击确认跳转空白界面。但是在内网的访问是正常的,而且通过VPN去Ping视频终端也正常。
正常时在客户端访问服务器的抓包:
可以看到内网客户端发起访问时报文的长度已经是1514了,此时服务器回应正常。
通过VPN访问客户端时:
在客户端发起访问时可以看到大量TCP重传包,长度为1254,随即排查配置发现用户将外网接口的TCP MSS修改为1200了,再加公网和IPSEC封装后报文长度达到1254。
#
interface GigabitEthernet1/0/15
port link-mode route
ip address X.X.X.X 255.255.255.240
ip address X.X.X.X 255.255.255.240 sub
ip address X.X.X.X 255.255.255.240 sub
tcp mss 1200
nat outbound 3000
此时怀疑此问题与接口MTU值有关,进而排查正常和异常抓包发现,
正常客户端发送的数据是带有DF位的,但是经过防火墙后将数据分片了,所以导致报文异常。
至此问题已经排查清楚了,是视频客户端报文DF位原因导致的问题。于是让客户逐渐修改TCP MSS值,当修改至1300时业务正常。
结论:
一般报文经过IPSEC封装数据长度会增加,比如客户端发出的报文长度为1300而且有DF置位,那么外网该接口MTU应该调整1300+54
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作