最大転送ユニット (MTU) は、ネットワークが伝送できる最大のデータパケット量をバイト単位で指定します。
ほとんどの場合、Firebox で既定の MTU 値を使用できます:
- GRE ベースの仮想インターフェイスの場合、MTU は 1476 バイトです。
- VTI ベースの仮想インターフェイスの場合、MTU は 1500 バイトです。
Fireware v12.5 以降では、BOVPN 仮想インターフェイスにカスタム MTU 値を指定することができます。この MTU 設定は個々の BOVPN 仮想インターフェイスに固有のもので、グローバルな Firebox 設定ではありません。
Firebox が特定のサイズを超過するパケットをドロップするサードパーティの VPN endpoint に接続する場合、カスタム MTU 値を指定する必要がある場合があります。サードパーティの endpoint にカスタム MTU 値が必要かどうかを判断するには、サードパーティのベンダーから提供されたドキュメントを参照してください。
Microsoft Azure VPN の MTU 要件
Azure VPN 接続では、Microsoft は 1400 の MTU または 1350 の TCP MSS を必要とします。Azure VPN ゲートウェイは、合計パケット サイズが 1400 を超えないパケットをドロップします。
Azure VPN ゲートウェイが Firebox からのパケットをドロップした場合は、以下の Firebox 設定をお薦めします:
- Fireware v12.5 以降 — BOVPN 仮想インターフェイス構成で MTU を 1400 に指定します。
- Fireware v12.4.1 以前 — 物理仮想インターフェイス構成で MTU を 1400 に指定します。
別の手段として、グローバル TCP MSS 値を 1350 に設定することができます。ただし、この設定は他の Firebox インターフェイスに影響し、TCP トラフィックのみにしか適用されないため、このオプションはお薦めしません。例えば、ほとんどの場合、RDP は通常 UDP を使用するため、この設定は RDP トラフィックに適用されません。RDP を使って Azure でホストされているサーバーにアクセスする場合、推奨 TCP MSS 値を指定してある場合でも、Azure は 1400 バイトを超えるパケットをドロップします。TCP MSS の設定の詳細については、次を参照してください:Firebox のグローバル設定を定義する。
MTU を構成する
Fireware Web UI または Policy Manager でカスタム MTU 値を構成するには、Firebox が Fireware v12.5.4 以降である必要があります。Fireware v12.5 から v12.5.3 では、CLI を使って、Fireware v12.5 から v12.5.3 セクションで指定された MTU 設定を構成する必要があります。
- VPN > BOVPN 仮想インターフェイス の順に選択します。
- 仮想インターフェイスを選択し、編集 をクリックします。
- VPN ルート をクリックします。
- トンネル MTU を制限する を選択します。
- 隣接するテキスト ボックスで 1400 の既定値を保持するか、68 から 9000 の間の値を入力します。
- VPN > BOVPN 仮想インターフェイス の順に選択します。
- 仮想インターフェイスを選択し、編集 をクリックします。
- VPN ルート をクリックします。
- トンネル MTU を制限する を選択します。
- 隣接するテキスト ボックスで 1400 の既定値を保持するか、68 から 9000 の間の値を入力します。
Fireware v12.5 から v12.5.3 で MTU を構成する
Fireware v12.5 から v12.5.3 では、CLI を使って MTU 設定を構成する必要があります。次のコマンドを使用します:
diagnose vpn "/ipsec/vif/mtu/set \“interface_name\" MTU"
例えば、インターフェイス BovpnVif.1 の MTU を 1400 に変更するには、次のように指定します:
diagnose vpn "/ipsec/vif/mtu/set \"BovpnVif.1\" 1400"