Is that an inflexible rule ? Не обязательно, но могут быть проблемы.
Вы не можете пропустить без фракции пакеты, которые больше, чем наименьший MTU в пути. Пакеты могут или не могут быть фрагментированы конфигурацией на этих транзитных маршрутизаторах. Если фрагментация разрешена, пакеты все равно будут проходить. Обычно это нежелательно, так как увеличивает нагрузку.
Пример:
MTU R1:1500<->R2:1500<->R3:1500<->R4:1350<->R5:9000<->R6:1500 В следующем примере самый высокий MTU, который вы можете иметь без фрагментации, равен 1350, поскольку он является самым низким в пути. Обычно это не проблема, если только маршрутизаторы в транзитном пути не допускают фрагментации. С оборудованием корпоративного уровня вы можете запустить ping и присвоить ему флаг «df» для «не фрагментировать». Вы статически установите размер ICMP и посмотрите, сможет ли он пройти. Это хороший метод устранения неполадок для выявления возможных проблем mtu.
В вашем сценарии IPSec клиент должен автоматически настраивать MTU для вас (как в программном обеспечении ipsec). Клиент Cisco IPSec автоматически настраивает MTU на 1200. Кроме того, маршрутизаторы могут быть настроены для настройки mss, и это передается между маршрутизатором и клиентом. Он настроит MTU для сквозной связи по сравнению с ip mtu, который предназначен для исходящего трафика.
Не пользуйтесь большим эмпирическим правилом для своих клиентов и придерживайтесь стандартов RFC для наилучшей практики маршрутизации. Если у вас есть маршрутизаторы корпоративного уровня, внесите необходимые коррективы в интерфейсы VLAN и WAN.
На всем моем оборудовании, которое выполняет ipsec для локальной сети, я настраиваю MSS на 1200 в vlan, потому что это то, что Cisco делает с вашим ПК - и это всегда работает. :)