过设备IPSEC 访问某些站点无法打开网页

PC过路由器IPSEC出去之后访问其他spoke内的客户服务器站点无法打开网页. 

1-首先IPSEC 的IKE SA 和IPSEC SA都是正常的表示站点之间的IPSEC能够正常工作.

2-访问用的PC和被访问的客户服务器之间ping是通的,说明通信点的路由也是正常的.

3-因为网页无论是HTTP还是HTTPS都是TCP的,所以在修改MTU 让出IPSEC封装位置的同时也要修改tcp mss .

一般是比MTU -40 (20IP包头和20TCP包头)

4-按照常规修了IPSEC的MTU和MSS依然不好用.此时抓包发现和该服务器的DF比特置位. 

ipsec 调用的位置使用df-bit clear, 如下案例为感兴趣流的方式的物理接口调用的IPSEC:

修改之后能正常访问通信. 

int te x/x/x

ipsec apply policy map1

ipsec df-bit clear