PC过路由器IPSEC出去之后访问其他spoke内的客户服务器站点无法打开网页.
1-首先IPSEC 的IKE SA 和IPSEC SA都是正常的表示站点之间的IPSEC能够正常工作.
2-访问用的PC和被访问的客户服务器之间ping是通的,说明通信点的路由也是正常的.
3-因为网页无论是HTTP还是HTTPS都是TCP的,所以在修改MTU 让出IPSEC封装位置的同时也要修改tcp mss .
一般是比MTU -40 (20IP包头和20TCP包头)
4-按照常规修了IPSEC的MTU和MSS依然不好用.此时抓包发现和该服务器的DF比特置位.
ipsec 调用的位置使用df-bit clear, 如下案例为感兴趣流的方式的物理接口调用的IPSEC:
修改之后能正常访问通信.
int te x/x/x
ipsec apply policy map1
ipsec df-bit clear