FortiGateのMTU設定について

MTUとは

MTU（Maximum Transmission Unit）は、インターフェースが一度に転送できる最大パケットサイズを示します。

FortiGateでも標準は1500バイトですが、VPNやPPPoEなどの環境ではオーバーヘッドにより調整が必要になる場合があります。

MTUを調整すべきケース

• IPsec VPN利用時
  IPsecは追加ヘッダが入るため、1500のままでは断片化が起こる可能性が高いです。実運用では 1400〜1476バイト に調整するケースが多いです。
• PPPoE接続時
  PPPoEは8バイトのヘッダが付与されるため、最大MTUは 1492バイト です（RFC4638対応なら拡張も可能）。
• クラウド接続時
  AWSやAzureではMTU 1500または9000（Jumbo Frame）が利用される例があり、接続先の仕様に合わせる必要があります。

MTUの確認方法

設定値の確認

show system interface <インターフェース名>

実際の有効値の確認

diagnose netlink interface list <ifname>
fnsysctl ifconfig <ifname>
diagnose hardware deviceinfo nic <ifname>

出力に mtu=XXXX が表示されます。

MTU変更方法（CLI）

FortiOS v5.4以降はGUIからは設定できず、CLIで行います。

例

config system interface
    edit port1
        set mtu-override enable
        set mtu 1400
    next
end

• set mtu-override enable … デフォルト値を上書きする設定
• set mtu <値> … 実際に適用するMTU値

検証方法

DFフラグ付きPingで経路MTUを確認

execute ping-options df-bit yes
execute ping-options data-size 1472
execute ping 8.8.8.8

data-size に28バイト（IP20+ICMP8）を足した値がMTUになります。

値を上下させ、断片化が起きない最大値を確認します。

MSS調整（TCP最適化）

MTUだけでなく、TCPのMSS（Maximum Segment Size）も調整することで安定性が向上します。

目安は MSS ≒ MTU − 40（IPヘッダ20 + TCPヘッダ20）。

設定例

config firewall policy
    edit 1
        set tcp-mss-sender 1360
        set tcp-mss-receiver 1360
    next
end

IPsecではヘッダ分さらに減るため、1500MTU環境ならMSSは概ね1387程度が上限になります。

Jumbo Frame利用

一部のFortiGateモデルでは9000〜9216バイト級のJumbo Frameをサポートします。

ただし、全経路が対応していないとドロップが発生するため、導入時はネットワーク全体での調整が必須です。

まとめ

• FortiGateの標準MTUは1500バイト。VPNやPPPoEなどでは縮小が必要。
• 設定はCLIで set mtu-override enable → set mtu <値> を使う。
• DF付きpingで経路MTUを検証するのが確実。
• TCP MSSの調整を併用すると通信安定性が向上。
• Jumbo Frame利用時はネットワーク全体で統一が前提。

以上、FortiGateのMTU設定についてでした。

最後までお読みいただき、ありがとうございました。