防火墙丢包问题析报告.docVIP

厦门TD－SCDMA试验局防火墙丢包问题分析报告 组网描述： 1．核心网侧防火墙Netscreen和业务侧PIX防火墙的DMZ口通过业务侧三层交换机上的VLAN101互通，VLAN101不配置IP，使其和三层交换机上的其他VLAN不能通信，保证业务内部和外部设备的隔离。 2． 业务侧内部，PIX防火墙的inside接入三层交换机上的VLAN10，WAP网关接入三层交换机上的VLAN50，VLAN10和VLAN50配置IP，WAP网关和PIX防火墙inside口通过在三层交换机上启用IP Rouing功能，实现VLAN间直连路由互通。组网如图1所示。 图1 系统组网图 问题描述： 厦门TD-SCDMA试验局割接新建WAP网关上线、替代旧系统，测试大彩信时发现： 当WAP网关MTU为1500（这时WAP的MSS值为1500-40＝1460）、PIX的MSS为默认值时，TCP Segement Size为1460的手机发送大彩信、，数据包会被PIX防火墙的dmz口丢弃； 当WAP网关MTU为1500（即MSS为1460）、PIX的MSS为默认值时，TCP Segement Size为1024的手机发送大彩信、，数据包不会被PIX防火墙的dmz口丢弃。 当WAP网关MTU为1063（即MSS为1023）、PIX的MSS为1460时，TCP Segement Size为1024