mtu值字节的问题

你的问题涉及到了网络中的几个重要概念，包括MTU（Maximum Transmission Unit）、分片、以及IPsec VPN的MTU问题。下面逐一解答你的问题。

### ① 为什么用6500字节的ping包不通？

#### 背景知识
- **MTU**：最大传输单元（Maximum Transmission Unit），是指一个数据链路层帧所能携带的最大数据量。
- **标准以太网MTU**：通常为1500字节。
- **ICMP Echo Request**：ping命令发送的是ICMP Echo Request报文，其总长度包括IP头部（20字节）和ICMP头部（8字节）。

#### 问题分析
1. **超过1500字节的ICMP报文**：
- 当ICMP报文的总长度超过1500字节时，如果设置了DF（Don't Fragment）标志位，中间的路由器会丢弃该报文，并返回一个“分片需要但DF位设置”的ICMP错误消息。
- 如果没有设置DF位，路由器会将报文分片，但这可能导致某些设备无法正确重组分片报文，从而导致丢包。

2. **为什么ping公司的出口IP可以通**：
- 公司的出口IP可能是通过一个内部网络或NAT设备，这些设备可能支持更大的MTU值，或者已经进行了适当的配置来处理大报文。
- 也可能是因为公司内部网络的设备对分片报文的处理能力更强。

3. **公网域名不通**：
- 公网上的设备通常遵循标准的以太网MTU（1500字节），并且很多ISP和路由器会丢弃超过1500字节且设置了DF位的报文。
- 因此，当你尝试ping公网域名时，超过1500字节的报文会被丢弃，导致不通。

### ② IPsec VPN隧道建立后，ping通但Web页面访问不通

#### 背景知识
- **MTU**：在IPsec VPN中，由于增加了IPsec头部，实际可用的MTU会减少。
- **分片**：如果MTU设置不当，会导致数据包在传输过程中被分片，而某些设备可能无法正确处理分片报文。

#### 问题分析
1. **MTU值不一致**：
- 总部和分部的MTU值分别为1400和1350，这意味着总部发往分部的数据包可能会超过分部的MTU值，导致分片或丢包。
- 例如，总部发往分部的报文在加上IPsec头部后，总长度可能超过1350字节，导致分片或丢弃。

2. **Ping通但Web页面访问不通**：
- **Ping**：ICMP Echo Request报文通常较小，不超过1500字节，因此即使MTU值不一致，ping报文也能顺利通过。
- **Web页面**：HTTP请求和响应报文通常较大，可能超过1350字节，导致分片或丢弃，从而无法正常访问Web页面。

#### 解决方案
1. **调整MTU值**：
- 将总部和分部的MTU值统一设置为一个较小的值，例如1350，以确保所有数据包都不会超过最小的MTU值。
- 例如，在总部和分部的设备上执行以下命令：
```sh
[Device] interface GigabitEthernet1/0/1
[Device-GigabitEthernet1/0/1] mtu 1350
[Device-GigabitEthernet1/0/1] quit
```

2. **路径MTU发现（PMTUD）**：
- 启用路径MTU发现，让设备自动发现并调整MTU值。
- 例如，在设备上启用PMTUD：
```sh
[Device] ip pmtu discovery
```

3. **检查防火墙和NAT设备**：
- 确保防火墙和NAT设备允许分片报文通过，或者禁用分片限制。

通过以上调整，可以解决因MTU值不一致导致的数据包分片或丢弃问题，确保IPsec VPN隧道的正常通信。