Der MTU-Wert (Maximum Transmission Unit) ist die maximale Größe eines Protokolls der Vermittlungsschicht. Durch jedes zusätzliche Protokoll wird ein gewisser Overhead übertragen, welches die gesamte Größe erhöht.
Im Ethernet wird, wenn man den Wert 1500 überschreitet, das Paket geteilt (fragmentiert), was wiederum bewirkt, dass jedes zweite Paket mit einem kleinen Inhalt versendet wird. Dies kann natürlich zu Leistungseinbuße führen.
Aus diesem Grund sollte man bei jeder Firewall den MTU-Wert Richtung Internet optimieren. Dies kann man ganz einfach mit dem Ping-Befehl realisieren. Um den richtigen Wert herauszufinden muss man den Wert 1500 solange reduzieren, bis das Paket nicht mehr fragmentiert wird.
In unserm Beispiel ist der Internet-Anschluss der Firewall an eth1 angeschlossen und hat zu beginn ein MTU-Wert von 1500 konfiguriert.
Das Herantasten an den richtigen MTU-Wert kann man z.B. so realisieren (hier 1473 statt 1500):
ping -I eth1 -M do -s 1473 8.8.8.8
- Mit -I gibt man den Netzwerk-Adapter an
- Mit -M do prüft man die Fragmentierung
- Mit -s wird die Paket-Größe angegeben
Wie man an der folgenden Ausgabe erkennbar, muss das Paket fragmentiert werden (Frag needed):
PING 8.8.8.8 (8.8.8.8) from 1.2.3.4 eth1: 1473(1501) bytes of data.
ping: sendmsg: Message too long
From 1.2.3.4 icmp_seq=1 Frag needed and DF set (mtu = 1500)
ping: sendmsg: Message too long
From 1.2.3.4 icmp_seq=2 Frag needed and DF set (mtu = 1500)
ping: sendmsg: Message too long
From 1.2.3.4 icmp_seq=3 Frag needed and DF set (mtu = 1500)
Hat man den richtigen MTU-Wert erreicht (hier im Beispiel 1472):
ping -I eth1 -M do -s 1472 8.8.8.8
So entfällt der Hinweis, dass eine Fragmentierung benötigt ist:
PING 8.8.8.8 (8.8.8.8) from 1.2.3.4 eth9: 1472(1500) bytes of data.
76 bytes from 8.8.8.8: icmp_seq=1 ttl=120 (truncated)
76 bytes from 8.8.8.8: icmp_seq=2 ttl=120 (truncated)
76 bytes from 8.8.8.8: icmp_seq=3 ttl=120 (truncated)
76 bytes from 8.8.8.8: icmp_seq=4 ttl=120 (truncated)
Jetzt muss man nur noch in der Firewall im Netzwerk-Adapter eth1 den MTU-Wert 1472 konfigurieren, dann ist die Paket-Größe für diesen Internet-Aschluss optimiert.