Cisco 给出的Ipsec VPN MTU 设置标准是1400字节,MSS 值是1360
一般平时都这样设置,但为什么这样设置呢
偶来解析下,也是对自己的总结
以下是GRE Tunnel MTU 设置的几个例子 1
GRE 隧道的情况 利用 GRE 隧道技术封装之后,原来的数据包会在 IP 报头前面加入一个新的IP 报头和新的GRE 报头
如下图,假设原始数据报头是IPX,那么在 IP GRE 的网络中传输就会封装上新IP 报头+GRE 报头 注意:新的IP 报头长度20字节,GRE 报头最小封装是4字节
那就是说现在的MTU 必须调成1476字节,(1500-20-4=1476)
否则将会自动分片,如果你把DF 位设置位1,就丢包
Ipsec VPN 分2种情况,一种是隧道模式(PS:IPsec 的隧道模式与GRE 隧道不是一个概念,别混肴
),另一种是传输模式
传输模式只对IP 负载部分进行加密,而在传输模式的基础上对IP 负载的传输过程进行保护,需要用到隧道模式
Cisco 默认的Ipsec VPN 就是隧道模式,如果你改为传输模式那数据只加密,而没有在传输过程作保护的,当然传输模式下遇到Man-in-middle 的话,Hacker 貌似也无法解密数据
(PS:记住啦,隧道模式是需要在已经加密的IP 负载基础上加入新的IP 报头+AH 报头或ESP 报头滴) ① 隧道模式中的以 IP 报头+AH 报头封装的数据包格式 AH 报头的格式以及最小长度字节示意图 注意:新的IP 报头长度20字节,AH 报头大小是可变的,但最小长度不能小于12字节(是不能小于12字节,并不是说AH 报头就是12字节,至于最大字节限制有待验证)那就是说现在的MTU 最多也只能是(1500-20-12=1468)字节才能满足Ipsec VPN 隧道模式的条件
② 隧道模式中的
