我目前正在解决一个问题,即 Windows 7 和 XP 系统上的某些用户无法访问我们网络上的 SSL 网站。同一网站在我们的服务器(Server 2003,完全最新,以及 Ubuntu Server 盒)和所有 OSX 机器上运行良好。我们的网关是一台运行 ISA 2003 的机器,它为网络提供防火墙和 NAT 服务。
到目前为止,我已经将其缩小到 MTU 问题 - 当我将 Windows 7 机器的 MTU 强制为 1100(例如)时,网站可以正常工作,但当我将 MTU 改回 1500 时,网站拒绝加载。当使用“不碎片化”和指定特定大小进行“ping 测试”时,可以确定 MTU - 但在过去几个小时里它也发生了几次变化......
在网络层面,当站点拒绝加载时,远程服务器会在 SSL 握手之后(或接近结束时)直接发送 TCP 重置。
有没有办法强制指定特定 IP 地址的 MTU?或者,这种行为有什么解释吗(也许是一种验证自动路径 MTU 发现是否有效的方法)?
答案1
这个站点是远程站点吗?它使用站点到站点 VPN 隧道吗?由于隧道数据包的开销,许多 VPN 隧道都必须更改 MTU。当站点有 GRE 或 IPSEC 隧道时,我见过类似的问题。事实上,我们甚至不知道它在那里,但显然,办公室使用了建筑物上的两个不同楼层,中间隔着十几个其他楼层,而且建筑物不允许他们运行自己的网络,他们不得不使用建筑物的“公共”网络,因此网络部门的某个人在两个路由器之间设置了一条隧道。