【每日一记9】第1天+记一次个别网站无法访问的问题处置

问题背景：

出口防火墙上线后，内网用户可以正常上网，当测试某公司官网的时候，发现无法正常打开，而通过4G流量可以打开。

原因分析：

用户在使用路由器访问Internet时，经常会反馈不能访问网页（或部分网页）以及使用Outlook收发邮件（这些应用是基于TCP或UDP的），但进行Ping包时没有问题，这时候检查配置时也没有错误。出现这种情况的时候，多半是因为在设备上进行了NAT应用，同时设备对报文进行了分片操作。

IP报文里是有五元组的，但报文要进行分片时，只有第一片报文带有IP的五元组信息（源目的ip位址，源目的端口号，协议号），后续的分片不会保留TCP/UDP报文所有的标识信息，如端口号信息等，这种情况下，如果设备又实现了NAT转换操作（NAT转换过程中，会随机地做埠转换），并且应用又是基于TCP/UDP的，这就导致报文不能正确组包，会出现上述的问题现象。

TCP/IP连接时建立的过程中会协商很多参数的，其中TCP MSS参数就是用于协商TCP报文大小的，如果协商出来的TCP MSS的参数值小于设备的MTU的值时，TCP报文在设备上就不会被分片，否则就会出现报文分片并导致上述现象的发生，因此，为了避免上述情况的发生，一定要保证协商的TCP MSS参数小于设备的MTU的值。为此，Quidway路由器上有一个设置TCP MSS值的命令，如果配置了这条命令，路由器设备在建立TCP/IP连接的过程中就按照这个配置的值来修改协商报文中关于TCP MSS的值，在同对端协商的过程中也就能够协商出这个值来，如果不配置这条命令，路由器设备就不会修改报文中的这个值（有时对端设备发送过来的协商报文中的这个值会很大，如8000）。一般来说，默认或配置的MTU的值一般在1500左右，将TCP MSS的值设备为小于1500就可以，如1400或1024等。

如果TCP MSS值设置的过小，报文数量明显增多又导致效率下降，特别是没有配置NAT应用的情况下，限制TCP报文大小更没有必要，由于应用情况比较复杂，设置默认的TCP MSS的值也不是特别合适（设备会在建立连接时均要修改TCP MSS的值），因此，还是在应用中加以注意比较好。

解决办法：

在出口防火墙设置tcp mss 1024解决该问题

打赏学习，感谢分享

遇到过这种问题，但是不确定是否是这个因素引起的，对MSS这个也不了解。感谢分享！！

感谢分享