实战：关于VPN链路中的MTU传输问题

　　【IT168 专稿】一、问题概述：在我们的实际组网中经常遇到此类问题：
　　1） 某些网站浏览没有问题，而某些网站浏览非常慢甚至无法浏览。QQ等正常没有任何问题。
　　2） 无法下载大的文件。
　　3）EMAIL无法发大附件。

　　二、问题分析：

　　一般所来是由于路径MTU不匹配的缘故，特别是在经过了VPN链路的时候，譬如ADSL PPPOE拨号，
　　L2TP,PPTP,IPSEC,GRE隧道等情况。下面就以GRE隧道为例来说明MTU的问题，其他隧道协议类似只是头部字
　　节不同而已。
　　拓扑结构：

　　VPN网关1和2之间建立了一条GRE隧道，VPN1 VPN2的外网口均为以太网口，MTU为1500。PC与SERVER通过该
　　GRE隧道互访。
　　分析过程：

　　PC在ping –f –l 1448 SERVER 的时候可以ping 通，而ping –f –l 1449 SERVER的时候却收到报文不可
　　分片错误。

　　PC出来的IP报文长度为1448＋8（ICMP）＋20（IP），到达VPN网关1，VPN网关1发到GRE隧道口，封装GRE头
　　（4），再加上外层IP头，到达VPN网关外层以太口，这时IP报文的长度已经变为：1448＋8＋20＋4＋20＝
　　1500字节，刚好等于以太口的MTU，于是被顺利传送。而ping 1449时，到达外层以太口为1501字节，超出了
　　1500的MTU，又因为报文DF位被设置，于是就只能丢弃改报文，并返回DF错误。
　　上述实验中出现此结果是因为DF被置位，导致无法分片。但是如果DF没有置位则可以正常的通过但是会出现
　　分片的现象。不过现在很多服务器譬如WEB为了提高效率以及安全问题等所发出的包是不允许分片的。并且
　　大多防火墙、IPS等设备，这些设备通常也是不允许分片通过的。因此就出现了有些网站无法浏览，大文件
　　无法传输的情况。