FortiGate パケット損失時のMTU、TCP-MSSのトラブルシューティング

FortiGate パケット損失時のMTU、TCP-MSSのトラブルシューティングに関する切り分けで参考になるサイトがあったので紹介します。

情報元はこちら

FortiGate – MTU & TCP-MSS Troubleshooting

以下は抜粋です。

===

複数のリモートサイトを展開した後、特定の管理およびアプリケーション機能が機能しなくなりました。サイト間の共通の分母は、WANインフラストラクチャ（クライアントが所有）でした。さらに、観察された症状は、以下に示すようにまったく同じでした。

トラブルシューティングプロセス中に、次の症状が観察されました。

・HTTPSを使用してファイアウォール管理GUIにアクセスできない
・DCにあるサーバーに複数のクライアントを接続できない
・ドメインからGPOポリシーを撤回できない
・大きなファイルをコピーするとファイル転送が失敗する
・DCとリモートサイトの内部セグメント間のパケット損失

一方、SSHやRDPなどのプロトコルは適切に機能し、最も混乱した部分は、このインフラストラクチャに接続されたサイトの1つにこれらの症状がなかったことです。

トラブルシューティングプロセスは、物理層からアプリケーション層まで、OSIモデルに基づいていました。

私の主な疑惑は、他のレイヤーで問題が解消されたため、IPプロトコルと伝送プロトコル（TCP / UDP）を担当するレイヤー3〜4に焦点を当てました。管理環境とリモートサイト間のping応答、遅延、ジッター、およびパケット損失を測定するために、ネットワークアナライザーを使用しました。しばらくすると、パケット損失が大幅に増加し、それが蓄積されて増大し始めたことがわかりました。これは、TCPベースのプロトコルに問題がある理由を明確に説明しています。

次のステップは、ボトルネックを見つけて、サイト間のMTUとMSSのサイズを測定することでした。

・MTU –「MaximumTransmission Unit」の略で、レイヤー3デバイスで処理できるIPパケットの最大サイズです。
・TCP-MSS –「最大セグメントサイズ」の略で、単一のIPパケット内のペイロードフィールドの最大サイズです。

通信ネットワークのMTU値が低いが、クライアントエンドポイントがそれを認識していない場合、通信ネットワークは1460バイトのMSS値をサーバーに送信します。したがって、サーバーはクライアントが1500バイト（1460 MSS + 20IPヘッダー+ 20TCPヘッダー= 1500バイト）を受信できると見なし、1500バイトのサイズのパケットを送信します。MTUがパスのどこかで低い場合、パケットはフラグメント化される可能性があります。DF（フラグメント化しない）ビットが設定されている場合、パケットがドロップされる可能性があり、ネットワークの遅延や速度低下を引き起こす可能性があります。

デフラグされたpingテストを実行して、最適なMTU値とTCP-MSS値を見つけるために、インフラストラクチャのテストを開始しました。

・最初に、デフォルトのMTUサイズが1500のインフラストラクチャをテストしました[1500-28（20バイト= IPヘッダーおよび8バイト= ICMPヘッダー）= 1472バイト]
パケットが通過しなかったのを見て、1422（1394 + 28 = 1422バイト）である最適な値が見つかるまで、MTU値を減らし始めました。
・次に、最適なTCP-MSS値を見つけるために、MTUから40バイトを差し引く必要がありました。これは1382（1422-40 = 1382バイト）です。
・その時点で、リモートサイトのファイアウォールで、WANポート構成のMTUサイズとポリシー構成のTCP-MSSサイズを調整しました。
・パケット損失のない追加のネットワーク分析を実行しました

必要な変更を展開した後、問題はなくなり、症状を克服することができました。

FortiGateでのMTUとTCP-MSSの設定は非常に簡単です。SSHを使用してファイアウォールに接続し、次のコマンドを実行します。

edit system interface
edit port [id]
set mtu-override enable
set mtu [calculated value]

config firewall policy
edit [policy id]
tcp mss-sender [calculated value]
tcp mss-receiver [ calculated value]