网关虚拟机神秘拒绝“需要分片”

我一直在排除严重的 WAN 速度问题。我已修复此问题，但为了其他人的利益：

通过 WireShark、日志记录和简化配置，我将其缩小到网关对内部网络上的服务器执行 DNAT 的某些奇怪行为。网关（CentOS 机箱）和服务器都在同一台 VMware ESXi 5 主机上运行（事实证明这很重要）。

当我尝试使用直接连接到网关 WAN 侧的测试客户端（绕过通常在此处使用的实际 Internet 连接）从 DNAT 后面的 HTTP 服务器下载文件时，发生了以下事件的顺序 - 相当一致：

1. 通常的 TCP 连接建立（SYN、SYN ACK、ACK）正常进行；网关双向正确地重新映射服务器的 IP。

2. 客户端使用 HTTP GET 发送单个 TCP 段，并且该段也正确地 DNAT 到目标服务器。

3. 服务器通过网关发送一个 1460 字节的 TCP 段，其中包含 200 响应和部分文件。线路上的帧大小为 1514 字节 - 有效载荷为 1500。此段应该穿过网关，但实际上没有。

4. 服务器通过网关发送第二个 1460 字节 TCP 段，继续传输文件。同样，链接有效负载为 1500 字节。此段也不会跨越网关，因此永远不会被记录。

5. 网关向服务器发回一个 ICMP 类型 3 代码 4（目标不可达 - 需要分片）数据包，引用事件 3 中发送的数据包。ICMP 数据包指示下一跳 MTU 为 1500。 这似乎是无稽之谈，因为网络是 1500 字节干净的，并且 3 和 4 中的链路有效载荷已在规定的 1500 字节限制内。服务器理所当然地忽略了此响应。（最初，ICMP 被过于严密的防火墙丢弃，但这个问题已得到修复。）

6. 经过相当长的延迟（在某些配置中，服务器会重复发送 ACK）后，服务器决定重新发送事件 3 中的段，这次是单独发送。除了 IP 标识字段和校验和外，该帧与事件 3 中的帧完全相同。它们是长度相同和新的仍然设置了“不碎片”标志。 然而，这一次，网关很乐意将该段完整地传递给客户端，而不是发送 ICMP 拒绝。

7. 客户端确认此消息，传输继续，尽管极其缓慢地，因为后续段大致经历相同的模式：被拒绝、超时、重新发送，然后通过。

如果将客户端移到局域网内直接访问服务器，那么客户端和服务器就可以正常协同工作。

这种奇怪的行为根据目标服务器看似不相关的细节而不可预测地变化。

例如，在 Server 2003 R2 上，如果启用了 Windows 防火墙（即使允许 HTTP 和所有 ICMP），7MB 的测试文件将需要 7 小时以上才能传输，而这个问题根本不会出现，而且矛盾的是网关根本不会发送拒绝信息如果禁用了 Windows 防火墙，则不会产生任何影响。另一方面，在 Server 2008 R2 上，禁用 Windows 防火墙没有任何影响，但传输虽然仍然受到影响，但速度比启用防火墙的 Server 2003 R2 快得多。（我认为这是因为 2008 R2 使用了更智能的超时启发式方法和 TCP 快速重传。）

更奇怪的是，如果目标服务器上安装了 WireShark，问题就会消失。因此，为了诊断问题，我必须在单独的 VM 上安装 WireShark 来监视 LAN 端网络流量（出于其他原因，这可能是一个更好的主意。）

ESXi 主机是版本 5.0 U2。