インターフェイス mtu とトンネル mtu 出力の違い

問題の状況

コマンドを実行するときにインターフェイストンネルを表示します。X は、ユーザーがインターフェイスの MTU 1500 バイトを見ている。

管理者 @ PA-5050 > 表示インターフェイストンネル1

--------------------------------------------------------------------------------

名前: トンネル1、ID: 266

操作モード: レイヤー 3

仮想ルータのデフォルト

インターフェイスの MTU 1500

コマンドの出力を確認するvpn フロートンネルを表示する-id X MTU 値が異なります。

管理者 @ PA-5050 > 表示 vpn の流れのトンネル-id 1

トンネルの linux: a1

        id: 1

        タイプ: IPSec

        トンネルの mtu: 1448

原因

出力間に異なる値があるにもかかわらず、ファイアウォールはどちらの場合も正しい値を示します。最初のコマンドは、ヘッダとトレーラとともに mtu 値を表示し、2番目の出力はヘッダとトレーラなしでデータペイロードのみの mtu 値を表示します。

ESP トンネルモードの場合、VPN トンネル MTU はデータペイロードプラスになります。

• 20バイトの IPsec ヘッダー (トンネルモード)
• 4バイト SPI (ESP ヘッダ)
• 4バイトシーケンス (ESP ヘッダー)
• 8バイト IV (IOS の ESP-des/3des)
• 2バイトパッド (ESP-des/3des 64 ビット)
• 1バイトパッドの長さ (ESP トレーラー)
• 1バイト次のヘッダー (ESP トレーラー)
• 12バイト ESP の MD5 96 ダイジェスト

合計サイズは52バイトです。この値を報告された1448に追加すると、合計値が 1500 mtu になり、これは mtu が設定されたインターフェイスになります。

所有者: aciobanu