MTU 参考.docx

几个关键知识点： 1、在以态网中，常设置为1500字节的MTU来保证合适的吞吐量 2、VPN在执行数据保护的时候会加入另外的数据字节，如下： ESP：56 AH：24+ GRE：24 NAT-T/IPSEC OVER UDP：8 IPSEC OVER TCP：20 IPSEC的TUNNEL模式将另外增加20字节 因 此，在IPSEC的GRE隧道模式中应该这样设置隧道接口的MTU：1500-ESP56字节-GRE24字节-TUNNEL模式的20=1400，而在 传输模式的情况下是1420（这里有个可考虑的：就是GRE的24字节应用在隧道接口上，可以不包含在里面，此例中理论上可以将MTU值各加24字节）， 但是考虑到网络状况不一定总是不变的，应该再稍微把MTU调低，在吞吐量和灵活性二者的考虑中找到折中的解决途径。 3、MTU会引起的问题： 接收方对数据包分段，使CPU、内存资源损耗成倍增加 发送方不得不重新分段，影响吞吐量 防火墙在处理分段包的时候可能只会允许第一个包通过，如建立了ESTAB关键字的状态防火墙 如果发送方DF位设置，中间设备会直接丢包，造成不可达问题GRE Tunnel MTU 设置的几个例子1. GRE隧道的情况利用GRE隧道技术封装之后，原来的数据包会在IP报头前面加入一个新的IP报头和新的GRE报头。如下图，假设原始数据报头是IPX,那么在IP GRE的网络中传输就会封装上新IP报头＋GRE报头注意：新的IP报头长度20字节，GRE报头最小封装是4字节.那就是说现在的MTU必须调成1476字节，（1500-20-4=1476）。否则将会自动分片，如果你把DF位设置位1，就丢包。2. Ipsec VPN分2种情况，一种是隧道模式（PS:IPsec的隧道模式与GRE隧道不是一个概念，别混肴！），另一种是传输模式。传输模式只对IP负载部分进行加密,而在传输模式的基础上对IP负载的传输过程进行保护，需要用到隧道模式。Cisco默认的Ipsec VPN就是隧道模式，如果你改为传输模式那数据只加密，而没有在传输过程作保护的，当然传输模式下遇到Man-in-middle的话，Hacker貌似也无法解密数据。(PS:记住啦，隧道模式是需要在已经加密的IP负载基础上加入新的IP报头+AH报头或ESP报头滴!!!)① 隧道模式中的以IP报头+AH报头封装的数据包格式AH报头的格式以及最小长度字节示意图注意：新的IP报头长度20字节，AH报头大小是可变的，但最小长度不能小于12字节（是不能小于12字节，并不是说AH报头就是12字节，至于最大字节限制有待验证!!!）那就是说现在的MTU最多也只能是(1500-20-12=1468)字节才能满足Ipsec VPN 隧道模式的条件。② 隧道模式中的以IP报头+ESP报头封装的数据包格式ESP报头的格式以及最小长度字节示意图注意：新的IP报头长度20字节,ESP报头大小也是可变的，但最小长度不能小于10字节那就是说，现在的MTU最多也只能是(1500-20-10=1470)字节才能满足Ipsec VPN 隧道模式的条件。3. Ipsec + GRE隧道的的情况其实现在已经很容易算出Ipsec+GRE隧道需要占用多小字节了，当用AH封装的时候格式是（新的IP报头+GRE报头+新的IP报头+最小AH报头=最小56字节)，即此时MTU最多只能设置(1500-20-4-20-12=1444字节)才能满足Ipsec + GRE的条件。同理，ESP封装的时候MTU最多只能设置1446字节。