%PIX-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr=dest_address, src_addr=source_address, prot=protocol This message occurs when the firewall sends an ICMP destination unreachable message and when fragmentation is needed, but the “don’t-fragment” bit is set. Recommended Action: Ensure that the data is sent correctly.

今天在用PIX做实验的时候，发现可以从内部ping通DMZ区域的服务器(当然是在允许icmp穿越的情况下)，但是无法访问DMZ区域的服务。在console上打开了debug模式的log后，发现在访问DMZ区域的服务后，竟然给出了%PIX-6-602101，并且说effective mtu是0……真是不知道怎么想的，疯子才会把effective mtu写成0。show config看到该端口MTU是1500，并且icmp数据是可以正常穿过的。后来写了一条mtu dmz 64，发现dmz的服务可以正常访问了。重新把dmz的MTU设置成1500，发现访问也没有问题了……
查询了Cisco的TAC Case Collection，没有能找到类似的问题……