Cisco 给出的Ipsec VPN MTU 设置标准是1400字节,MSS 值是1360。一般平时都这样设置,但为什么这样设置呢??偶来解析下,也是对自己的总结。 以下是GRE Tunnel MTU 设置的几个例子 1. GRE 隧道的情况 利用 GRE 隧道技术封装之后,原来的数据包会在 IP 报头前面加入一个新的IP 报头和新的GRE 报头。如下图,假设原始数据报头是IPX,那么在 IP GRE 的网络中传输就会封装上新IP 报头+GRE 报头 注意:新的IP 报头长度20字节,GRE 报头最小封装是4字节.那就是说现在的MTU 必须调成1476字节,(1500-20-4=1476)。否则将会自动分片,如果你把DF 位设置位1,就丢包。 2. Ipsec VPN 分2种情况,一种是隧道模式(PS:IPsec 的隧道模式与GRE 隧道不是一个概念,别混肴!),另一种是传输模式。传输模式只对IP 负载部分进行加密,而在传输模式的基础上对IP 负载的传输过程进行保护,需要用到隧道模式。Cisco 默认的Ipsec VPN 就是隧道模式,如果你改为传输模式那数据只加密,而没有在传输过程作保护的,当然传输模式下遇到Man-in-middle 的话,Hacker 貌似也无法解密数据。(PS:记住啦,隧道模式是需要在已经加密的IP 负载基础上加入新的IP 报头+AH 报头或ESP 报头滴) ① 隧道模式中的以 IP 报头+AH 报头封装的数据包格式 AH 报头的格式以及最小长度字节示意图 注意:新的IP 报头长度20字节,AH 报头大小是可变的,但最小长度不能小于12字节(是不能小于12字节,并不是说AH 报头就是12字节,至于最大字节限制有待验证)那就是说现在的MTU 最多也只能是(1500-20-12=1468)字节才能满足Ipsec VPN 隧道模式的条件。 ② 隧道模式中的以 IP 报头+ESP 报头封装的数据包格式 ESP 报头的格式以及最小长度字节示意图 注意:新的IP 报头长度20字节, ESP 报头大小也是可变的,但最小长度不能小于10字节那就是说,现在的MTU 最多也只能是(1500-20-10=1470)字节才能满足Ipsec VPN 隧道模式的条件。 3. Ipsec + GRE 隧道的的情况 其实现在已经很容易算出 Ipsec+GRE 隧道需要占用多小字节了,当用 AH 封装的时候格式是(新的IP 报头+GRE 报头+新的IP 报头+最小 AH 报头=最小56字节),即此时 MTU 最多只能设置(1500-20-4-20-12=1444字节)才能满足Ipsec + GRE 的条件。同理,ESP 封装的时候 MTU最多只能设置1446字节。 ------------------------------------------------------...
