Cisco-Asa
有沒有辦法為發往 Cisco ASA 上特定 IP 地址的流量設置較低的 MTU?
我有許多 MTU 低於標準 (1500) 的 VPN 站點。我至少有一個站點,其中數據包的碎片對建構 IPSEC 隧道的成功產生了影響。
我可以在遠端站點的設備上設置 MTU。但是,在總部,我不想將 MTU 設置為最低公分母。
有沒有辦法為發往特定 IP 地址的流量設置較低的 MTU?
對於正常執行的 VPN 連接,我需要擔心碎片嗎?在我沒有問題的情況下是否值得解決這個問題?
HQ 設備是 ASA 5510。遠端站點具有 ASA 5505。
不是我知道的……虛擬隧道介面肯定會很好。
嘗試
crypto ipsec df-bit clear-df outside
,讓所有內容都碎片化——這並不能真正解決 MTU 問題,但它可以通過讓數據包碎片化而不是丟棄來解決這些問題。此外,隧道是否成功進行路徑 MTU 發現?路徑中的 MTU 問題應獲得路徑 MTU ICMP 響應,該響應應觸發隧道動態調整其 MTU(
#PMTUs ...
sh crypto ipsec sa 命令的行)。