У меня есть несколько VPN-сайтов, где MTU ниже стандартного (1500). У меня был по крайней мере один сайт, где фрагментация пакетов повлияла на успех построения туннеля IPSEC.
Я могу установить MTU на удаленном оборудовании. Однако в головном офисе я бы не хотел устанавливать MTU равным наименьшему общему знаменателю.
Есть ли способ установить меньшее значение MTU для трафика, предназначенного для определенного IP-адреса?
Нужно ли беспокоиться о фрагментации для работы VPN-соединений? Стоит ли говорить об этом там, где я не иметь проблемы?
Оборудование для центрального офиса - это ASA 5510. На удаленных объектах используется ASA 5505.
Не то, чтобы я знал о ... виртуальных туннельных интерфейсах, конечно, было бы неплохо.
Пытаться crypto ipsec df-bit clear-df outside, чтобы позволить всему фрагментироваться - это на самом деле не решит проблемы с MTU, но поможет их обойти, позволяя пакетам фрагментироваться вместо того, чтобы отбрасываться.
Кроме того, успешно ли туннели обнаруживают MTU пути? Проблемы с MTU на пути должны получить ответ ICMP MTU пути, который должен запускать туннель для динамической корректировки своих MTU ( #PMTUs ... строка команды sh crypto ipsec sa).