MTUが標準(1500)よりも低いVPNサイトがいくつかあります。パケットの断片化がIPSECトンネルの構築の成功に影響を与えたサイトが少なくとも1つあります。
リモートサイトの機器にMTUを設定できます。ただし、本社では、MTUを最小公分母に設定したくありません。
特定のIPアドレス宛てのトラフィックのMTUを低く設定する方法はありますか?
VPN接続を機能させるために、断片化について心配する必要がありますか?私が問題を抱えていない場合、これに対処する価値はありますか?
HQ機器はASA5510です。リモートサイトにはASA5505があります。
私が知っていることではありません..仮想トンネルインターフェースは確かに素晴らしいでしょう。
crypto ipsec df-bit clear-df outside
を試して、すべてをフラグメント化してください。これではMTUの問題は実際には修正されませんが、パケットをドロップする代わりにフラグメント化することで回避できます。
また、トンネルはパスMTU検出を正常に実行しますか?パス内のMTUの問題は、パスMTU ICMP応答を取得する必要があります。これにより、トンネルがトリガーされ、MTUが動的に調整されます(sh crypto ipsecsaコマンドの#PMTUs ...
行)。