「server-A」がIPSecトンネルを介して「fw-A」に接続する単純なサイト間IPSec VPNがあります。 「Server-A」の前には、サーバーへの1500バイトMTUインターフェースを備えたスイッチがあります。時々、「fw-A」の後ろにあるクライアントは「server-A」に大きなパケットを送信し、サーバーはICMP「Unreachable;フラグメンテーションが必要」というメッセージで応答します。
11:19:22.309296 IP 10.10.10.135 > 192.168.100.4: ICMP 10.10.10.135 unreachable - need to frag (mtu 1438), length 36
10.10.10.135「Server-A」 eth0 インターフェイスの IP アドレスであり、エンドクライアント
192.168.100.4の IP アドレスでもあります。
ICMP「接続できません。断片化が必要です」というメッセージは、ルータ(役割を果たすサーバ)がパケットを別のインターフェイスにルーティングしようとしますが、そのインターフェイスのMTUがパケットより小さく、ルータが許可されていない場合にのみ送信されることを修正します。ありますか? DFフラグが設定されているため、このパケットは壊れていますか?その場合、「server-A」は何のルーティングも実行しません。パッケージを繰り返すだけです。ルーティング決定2回 - パケットにESPヘッダーがある最初とパケットにESPヘッダーがない2番目。どちらの場合も、ターゲットはであり、10.10.10.135パスのMTUは65536バイトでなければなりません。
# ip route get 10.10.10.135
local 10.10.10.135 dev lo src 10.10.10135
cache <local>
# ip link show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
#
誰かがこの動作を説明できますか?