什么情况会导致 IPsec MTU check failure 一直增加,已经设置了全局 df-bit ,还是会出现超过 mtu 最大值导致丢弃现象。
分片方式为默认的 IPsec 封装前分片。
<vpn-router>dis ipsec statistics tunnel-id 24
IPsec packet statistics:
Received/sent packets: 30962/8985
Received/sent bytes: 5142832/2325336
Dropped packets (received/sent): 0/3080
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 3080
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
然而并非所有的 IPsec 隧道都有这个现象,而且对的设备都是同一个品牌的——锐捷 EG
<vpn-router>dis ipsec statistics tunnel-id 263
IPsec packet statistics:
Received/sent packets: 802005/1097334
Received/sent bytes: 114611296/573286096
Dropped packets (received/sent): 1/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 1
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
(0)
最佳答案
在 H3C MSR5660 路由器上遇到 IPsec MTU Check Failure,通常是由于 MTU 值过大,导致IPsec封装后超出链路允许的最大传输单元(MTU)。IPsec 需要在原始数据包上增加 ESP(Encapsulating Security Payload)或 AH(Authentication Header) 头部,这会导致数据包变大,如果超过链路MTU,就会触发 MTU check failure。
MTU 过大:
DF(Don't Fragment)位设置:
MSS(Maximum Segment Size)过大:
链路本身 MTU 受限:
在 IPsec 接口 或 内网接口 上调整 MTU:
interface GigabitEthernet 0/0
mtu 1400
如果是 TCP 连接,可以在接口上调整 MSS(Maximum Segment Size),避免数据包过大:
interface GigabitEthernet 0/0
ip tcp mss 1300
如果上游设备支持分片,可以允许分片:
system-view
ipsec anti-replay enable
ipsec df-bit clear
ipsec df-bit clear
让 DF 位清除,允许分片。如果你的 IPsec 隧道经过 MPLS/VPN、4G/5G、PPPoE 等链路,它们可能有更低的 MTU,比如:
可以在 PC 或路由器 上测试 MTU:
ping 8.8.8.8 -f -l 1400 (Windows)
ping 8.8.8.8 -M do -s 1400 (Linux)
如果 1400 失败,尝试更小的值(1350、1300等)。
如果路由器上有 ACL(访问控制列表)或 QOS 规则,可能会影响 MTU:
display current-configuration | include mtu
display current-configuration | include mss
如果发现 不合理的 MTU 限制,可以调整。
ipsec df-bit clear
,允许分片。ping -f -l
逐步测试合适的 MTU。
你可以先试试 MTU 1400 + MSS 1300,然后 save
并 reboot
,看看是否解决!
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论