接口 mtu 与隧道 mtu 输出的区别

症状

运行命令显示接口隧道时。X, 用户会看到接口 MTU 1500 字节.

admin@PA-5050> 显示接口隧道. 1

--------------------------------------------------------------------------------

名称: 隧道 1, 编号: 266

操作模式： layer3

虚拟路由器默认

接口 MTU 1500

检查命令的输出显示 vpn 流隧道-id X MTU 值不同.

admin@PA-5050> 显示 vpn 流隧道-id 1

隧道 linux:a1

        编号: 1

        类型: IPSec

        隧道 mtu: 1448

原因

尽管输出之间有不同的值, 但在这两种情况下, 防火墙都显示正确的值。第一个命令将 mtu 值与标头和拖车一起显示, 而第二个输出仅显示数据有效负载的 mtu 值, 而不带任何标头和拖车。

如果 ESP 隧道模式, VPN 隧道 MTU 将是数据负载加上:

• 20字节 IPsec 标头 (隧道模式)
• 4字节 SPI (ESP 头)
• 4字节序列 (ESP 头)
• 8字节 IV (IOS ESP-DES/3DES)
• 2字节垫 (ESP-DES/3DES 64 位)
• 1字节垫长度 (ESP 拖车)
• 1字节下标头 (ESP 拖车)
• 12字节 ESP MD5 96 文摘

总大小为52字节。将此值添加到报告的 1448, 总和为 1500年 mtu 的总值, 这是接口配置的 mtu。

所有者： aciobanu