Есть ли способ установить MTU ниже для трафика, предназначенного к определенному IP-адресу на Cisco ASA?

Question

Есть ли способ установить MTU ниже для трафика, предназначенного к определенному IP-адресу на Cisco ASA?

У меня есть несколько VPN-сайтов, где MTU ниже стандартного (1500). У меня был хотя бы один сайт, где фрагментация пакетов повлияла на успех построения туннеля IPSEC.

Я могу установить MTU на оборудовании на удаленных объектах. Однако в головном офисе я бы не хотел устанавливать MTU наименьшим общим знаменателем.

Есть ли способ установить MTU ниже для трафика, предназначенного для определенного IP-адреса?

Нужно ли беспокоиться о фрагментации для функционирования VPN-подключений? Стоит ли решать это там, где у меня нет проблем?

Штаб-квартира ASA 5510. Удаленные сайты имеют ASA 5505.

4

ipsec cisco-asa mtu fragmentation isakmp

Источник

dunxd 03 авг '11 в 12:42

1 ответ

Решение

Другие вопросы по тегам ipsec cisco-asa mtu fragmentation isakmp

Shane Madden 04 авг '11 в 14:32 2011-08-04 14:32 · Accepted Answer · 2011-08-04 14:32

Не то чтобы я знал... виртуальные туннельные интерфейсы наверняка были бы хорошими.

Пытаться crypto ipsec df-bit clear-df outside, чтобы все фрагментировалось - это на самом деле не решит проблемы MTU, но будет обходить их, позволяя пакетным фрагментам вместо отбрасывания.

Кроме того, туннели успешно делают обнаружение MTU пути? Проблемы MTU в пути должны получить ответ ICMP MTU пути, который должен запустить туннель для динамической настройки его MTU (#PMTUs ... строка команды sh crypto ipsec sa).