В некоторых документах в Интернете говорится, что все интерфейсы в широковещательном домене (т.е. границы маршрутизатора) должны иметь одинаковое значение MTU. Это негибкое правило? Но как насчет моего роумингового ноутбука, который использует IPsec и нуждается в более низком MTU? Я не буду изменять значение MTU Wi-Fi-точки доступа ... Я даже не хочу менять значение MTU переключателя Home Router'Switch ... Может быть, я запутался здесь ...
1 ответ
Is that an inflexible rule ?
Не обязательно, но могут быть проблемы.
Вы не можете пропустить без фракции пакеты, которые больше, чем наименьший MTU в пути. Пакеты могут или не могут быть фрагментированы конфигурацией на этих транзитных маршрутизаторах. Если фрагментация разрешена, пакеты все равно будут проходить. Обычно это нежелательно, так как увеличивает нагрузку.
Пример:
MTU
R1:1500<->R2:1500<->R3:1500<->R4:1350<->R5:9000<->R6:1500
В следующем примере самый высокий MTU, который вы можете иметь без фрагментации, равен 1350, поскольку он является самым низким в пути. Обычно это не проблема, если только маршрутизаторы в транзитном пути не допускают фрагментации. С оборудованием корпоративного уровня вы можете запустить ping и присвоить ему флаг "df" для "не фрагментировать". Вы статически установите размер ICMP и посмотрите, сможет ли он пройти. Это хороший метод устранения неполадок для выявления возможных проблем mtu.
В вашем сценарии IPSec клиент должен автоматически настраивать MTU для вас (как в программном обеспечении ipsec). Клиент Cisco IPSec автоматически настраивает MTU на 1200. Кроме того, маршрутизаторы могут быть настроены для настройки mss, и это передается между маршрутизатором и клиентом. Он настроит MTU для сквозной связи по сравнению с ip mtu, который предназначен для исходящего трафика.
Не пользуйтесь большим эмпирическим правилом для своих клиентов и придерживайтесь стандартов RFC для наилучшей практики маршрутизации. Если у вас есть маршрутизаторы корпоративного уровня, внесите необходимые коррективы в интерфейсы VLAN и WAN.
На всем моем оборудовании, которое выполняет ipsec локальной сети, я настраиваю MSS на 1200 в vlan, потому что это то, что Cisco делает с вашим ПК - и это всегда работает. :)