我有许多 VPN 站点的 MTU 低于标准 (1500)。至少有一个站点的数据包碎片影响了 IPSEC 隧道的成功构建。
我可以在远程站点的设备上设置 MTU。但是,在总部,我不希望将 MTU 设置为最低标准。
有没有办法将发往特定 IP 地址的流量的 MTU 设置得较低?
我需要担心碎片化问题,因为 VPN 连接无法正常运行?我是否应该解决这个问题?不有问题?
总部设备是 ASA 5510。远程站点有 ASA 5505。
答案1
据我所知,虚拟隧道接口肯定会很好。
尝试crypto ipsec df-bit clear-df outside让所有内容碎片化 - 这并不能真正解决 MTU 问题,但它可以通过让数据包碎片化而不是丢弃来解决这些问题。
此外,隧道是否成功进行路径 MTU 发现?路径中的 MTU 问题应该得到路径 MTU ICMP 响应,这应该触发隧道动态调整其 MTU(#PMTUs ...sh crypto ipsec sa 命令的行)。