Der UnterSchied zwischen Interface MTU und Tunnel MTU-Output
Resolution
Symptom
Beim Betrieb des Befehls Show-Interface-Tunnels. X, der Benutzer sieht die schnittSTELLE mtu 1500 Bytes.
admin @ PA-5050 > Show Interface Tunnel. 1
--------------------------------------------------------------------------------
Name: Tunnel. 1, ID: 266
Betriebsart: layer3
Virtuelle Router Standard
MTU 1500-Schnittstelle
ÜberPrüfen Sie die Ausgabe der Befehls Anzeige VPN Flow Tunnel-ID X der MTU-Wert ist unterschiedlich.
admin @ PA-5050 > VPN Flow Tunnel-ID 1 anzeigen
Tunnel Linux: a1
ID: 1
Typ: IPSec
Tunnel MTU: 1448
Ursache
Auch wenn es einen anderen Wert zwischen den Ausgängen gibt, zeigt die Firewall in beiden Fällen einen korrekten Wert an. Der erste Befehl zeigt den MTU-Wert zusammen mit den Headern und Anhängern an, während die zweite Ausgabe einen MTU-Wert von nur der Daten Nutzlast ohne Header und Trailer anzeigt.
Im ESP-Tunnel Modus wird der VPN-Tunnel MTU die Data Payload Plus:
- 20 Bytes IPsec Header (Tunnel Modus)
- 4 Bytes SPI (ESP-Header)
- 4 Bytes Sequenz (ESP-Header)
- 8 Byte IV (IOS ESP-DES/3DES)
- 2 Byte Pad (ESP-DES/3DES 64 Bit)
- 1 Byte Pad-Länge (ESP-Trailer)
- 1 Byte Next Header (ESP-Trailer)
- 12 Bytes ESP MD5 96 Digest
Für eine Gesamtgröße von 52 bytes. Um diesen Wert auf die gemeldete 1448 zu erhöhen, summiert sich der Gesamtwert von 1500 MTU, die von der MTU konfigurierte Schnittstelle.
Besitzer: Aciobanu