解决GRE和IPSEC中的IP分段、MTU、MSS和PMTUD问题-Cisco.PDFVIP

解决 GRE 和 IPSEC 中的 IP 分段、MTU、MSS 和 PMTUD 问题 目录 简介  IP 分段与重组 IP 分段问题 避免IP分段：TCP MSS 用途及其工作原理 场景 1 场景 2 什么是 PMTUD？ 场景 3 场景 4 PMTUD 问题 需要 PMTUD 的常见网络拓扑 什么是隧道？ 有关隧道接口的注意事项 路由器在隧道端点参与 PMTUD 方案 5 方案 6 “纯”IPsec 隧道模式 方案 7 方案 8 同时使用 GRE 与 IPsec 方案 9 方案 10 其他建议 相关信息 简介  本文描述IP分段和路径最大传输单位发现(PMTUD)如何工作并且讨论介入PMTUD行为，当结合用 IP隧道的不同的组合的一些方案。当前普遍使用IP隧道在互联网里带来介入IP分段和PMTUD对最前 方的问题。 IP 分段与重组 IP 协议是专为用于各种传输链路而设计的。虽然IP数据包的最大长度是65535，多数传输链路强制 执行一更加小的最大信息包长度限制，呼叫MTU。MTU 的值取决于传输链路的类型。因为允许路 由器如所需要，分段IP数据包IP设计适应MTU差异。接收站对片段的重组负责回到原始大型的IP数 据包。 IP 分段包括将数据报分为多个部分，可在稍后重组这些部分。IP 源、目标、标识、总长度和分段偏 移字段，以及 IP 报头中的“更多分段”标志和“不分段”标志均用于 IP 分段与重组。关于IP分段与重组 的技工的更多信息，请参阅RFC 791 。 此镜像表示IP报头的布局。 识别是16个位并且是IP数据包的发送方分配的值帮助在数据包的片段的重组。 分段偏移为 13 位，指示分段在原始 IP 数据报中的所属位置。该值是 8 个字节的倍数。 在 IP 报头的标志字段中，有三位用于控制标志。请务必注意，“不分段”(DF) 位在 PMTUD 中发挥着 中心作用，这是因为它确定是否允许对数据包进行分段。 位0保留和总是设置为0个。位1是DF位(0 = “可能分段”， 1 = “不片段”)。位 2 为 MF 位（0 =“最后一 个分段”，1 =“更多分段”）。 值 位 0（保留） 位 1 (DF) 位 2 (MF) 0 0 5月 为时 1 0 不分段 更多 下图形显示分段示例。如果将所有 IP 分段的长度相加，所得的值将比原始 IP 数据报的长度大 60。 总长度增加了 60 是因为另外创建了三个 IP 报头（第一个分段后的每个分段各对应一个 IP 报头 ）。 第一个分段的偏移为 0，此分段的长度为 1500；这包括已略作修改的原始 IP 报头所对应的 20 个字 节。 第二个分段的偏移为 185 (185 x 8 = 1480)，这意味着此分段的数据部分从原始 IP 数据报的第 1480 个字节开始。此分段的长度为 1500；这包括另外为此分段创建的 IP 报头。 第三个分段的偏移为 370 (370 x 8 = 2960)，这意味着此分段的数据部分从原始 IP 数据报的第 2960 个字节开始。此分段的长度为 1500；这包括另外为此分段创建的 IP 报头。 第四个分段的偏移为 555 (555 x 8 = 4440)，这意味着此分段的数据部分从原始 IP 数据报的第 4440 个字节开始。此分段的长度为 700 个字节；这包括另外为此分段创建的 IP 报头。 只有在收到了最后一个分段时，才能确定原始 IP 数据报的大小。 通过最后一个分段的分段偏移 (555)，得出原始 IP 数据报中的数据偏移为 4440 个字节。如果再加 上最后一个分段中的数据字节 (680 = 700 - 20)，这样您将获得 5120 个字节，这是原始 IP 数据报 的数据部分。然后，加上 IP 报头的 20 个字节，即等于原始 IP 数据报的大小 (4440 + 680 + 20 5140)。 IP 分段问题 存在下面几个致使 IP 分段不受欢迎的问题。分段 IP 数据报时，CPU 和内存开销将稍有增加。这对 于发送器和接收器路径上的发送器和路由器是适用的。创建分段只涉及创建分段报头和将原始数据 报复制到分段中。由于可以立即获取创建分段所需的所有信息，因此可以非常高效地完成该操作。 重组分段时，分段会导致接收者产生更大开销，原因是接收者必须为到达的分段分配内存，然后在 收到所有分段后将它们重新组合为一个数据报。在主机上进行重组不会带来任何问题，因为主机拥 有完成此任务所需的时间和内存资源。 但是，路由器的主要工作是尽快转发数据包，因