Is that an inflexible rule ? Nicht unbedingt, aber es kann Probleme geben.
Sie können keine Pakete ohne Franchise übergeben, die größer als die SMALLEST-MTU im Pfad sind. Die Pakete können durch die Konfiguration auf diesen Transit-Routern fragmentiert sein oder nicht. Wenn die Fragmentierung zulässig ist, werden die Pakete trotzdem weitergeleitet. Dies ist normalerweise nicht erwünscht, da es die Last erhöht.
Beispiel:
MTU R1:1500<->R2:1500<->R3:1500<->R4:1350<->R5:9000<->R6:1500 Im folgenden Beispiel ist die höchste MTU, die Sie ohne Fragmentierung haben können, 1350, da sie die niedrigste im Pfad ist. Dies ist normalerweise kein Problem, es sei denn, die Router im Transitpfad erlauben keine Fragmentierung. Mit Geräten der Enterprise-Klasse können Sie einen Ping ausführen und ihm das Flag "df" für "Nicht fragmentieren" zuweisen. Sie legen die Größe des ICMP statisch fest und sehen, ob er bestehen kann. Dies ist eine gute Fehlerbehebungsmethode, um mögliche mtu-Probleme zu ermitteln.
In Ihrem IPSec-Szenario sollte der Client Ihre MTU automatisch anpassen (wie in der ipsec-Software). Der Cisco IPSec-Client passt Ihre MTU automatisch an 1200 an. Zusätzlich können Router so konfiguriert werden, dass sie die mss anpassen, und dies wird zwischen Router und Client weitergeleitet. Es wird die MTU für die Ende-zu-Ende-Kommunikation anpassen, im Gegensatz zu ip mtu, das für den Ausgangsverkehr vorgesehen ist.
Eine Faustregel verlieren, Ihre Kunden werden weniger, und halten Sie sich an die bewährten RFC-Standards / -Verfahren für Ihr Routing. Wenn Sie über Router der Unternehmensklasse verfügen, nehmen Sie gegebenenfalls Anpassungen an den VLAN- und WAN-Schnittstellen vor.
Bei all meinen Geräten, die LAN-to-LAN-IPSec verwenden, stelle ich die MSS auf VLAN auf 1200 ein, weil Cisco dies mit Ihrem PC macht - und es funktioniert immer. :)