MSR5660 路由器 IPsec MTU check failure

在 H3C MSR5660 路由器上遇到 IPsec MTU Check Failure，通常是由于 MTU 值过大，导致IPsec封装后超出链路允许的最大传输单元（MTU）。IPsec 需要在原始数据包上增加 ESP（Encapsulating Security Payload）或 AH（Authentication Header） 头部，这会导致数据包变大，如果超过链路MTU，就会触发 MTU check failure。

可能的原因

1. MTU 过大：

   • IPsec 报文封装后超出了链路 MTU，导致丢包或分片失败。
   • 标准以太网 MTU 是 1500，但 IPsec 可能需要更小的值，如 1400 或 1350。

2. DF（Don't Fragment）位设置：

   • 如果数据包设置了 DF位（不允许分片），但封装后数据包超出 MTU，则会导致失败。

3. MSS（Maximum Segment Size）过大：

   • TCP MSS 可能未调整，导致 TCP 报文在 IPsec 隧道中超长。

4. 链路本身 MTU 受限：

   • 如果你的 运营商网络、MPLS VPN 或 4G/5G 线路 有更小的 MTU（如 1420 或 1380），可能会影响 IPsec 传输。

解决方案

方法 1：降低 MTU

在 IPsec 接口 或 内网接口 上调整 MTU：

• 推荐 MTU 值：1400 或更小（如 1350）
• 这个值需要根据实际网络情况测试。

方法 2：降低 TCP MSS

如果是 TCP 连接，可以在接口上调整 MSS（Maximum Segment Size），避免数据包过大：

• 推荐 MSS：1300 或 1200
• MSS = MTU - 40（TCP/IP 头部），如果 MTU = 1400，则 MSS ≈ 1360。

方法 3：允许 IP 分片

如果上游设备支持分片，可以允许分片：

• ipsec df-bit clear 让 DF 位清除，允许分片。

方法 4：检查运营商 MTU

如果你的 IPsec 隧道经过 MPLS/VPN、4G/5G、PPPoE 等链路，它们可能有更低的 MTU，比如：

• MPLS VPN：通常 1400~1420
• PPPoE：通常 1492
• 4G/5G：通常 1350~1400

可以在 PC 或路由器 上测试 MTU：

如果 1400 失败，尝试更小的值（1350、1300等）。

方法 5：检查防火墙和策略

如果路由器上有 ACL（访问控制列表）或 QOS 规则，可能会影响 MTU：

如果发现 不合理的 MTU 限制，可以调整。

总结

1. 最优解：尝试 MTU=1400，MSS=1300 并重启 IPsec。
2. 如果还不行：启用 ipsec df-bit clear，允许分片。
3. 测试：用 ping -f -l 逐步测试合适的 MTU。

你可以先试试 MTU 1400 + MSS 1300，然后 save 并 reboot，看看是否解决！