Test thử MTU trong VPN có drop gói lớn không

Test thử giảm MTU của đường VPN IPSEC đi thì gói có bị drop hay phân mảnh?

Sau khi cấu hình xong VPN IPSEC cơ bản giữa R2 và R3 thì ta thử hạ MTU của cổng wan xuống còn 1300, sau đó từ R1 ping sang LAN bên kia (là R4), với gói 1400 bytes xem VPN nó drop hay phân mảnh.

Show session trước đó đã UP

Sau đó thử ping từ R1 gói 1400 bytes

R1#ping 10.3.4.4 size 1400 repeat 1

Type escape sequence to abort.
Sending 1, 1400-byte ICMP Echos to 10.3.4.4, timeout is 2 seconds:

!
Success rate is 100 percent (1/1), round-trip min/avg/max = 3/3/3 ms

=>Thấy vẫn thông

Thử debug ip packet tại đầu R4, thì thấy R4 có nhận 2 gói từ R1, và bị phân mảnh (dòng có s=10.1.2.1 bên dưới)

Chứng tỏ là ở trong VPN khi nhận được gói từ R1, bị quá MTU, nó sẽ phân mảnh ra thành 2 gói nhỏ rồi mới mã hoá, nên là khi đi sang R4, đã giải mã thì R4 mới nhận được 2 gói.

Sau đó R4 gửi lại reply và kích cỡ cũng full 1400.

Sau đó ta bắt tại R1cũng thấy gói reply từ R4 cũng bị phân mảnh ra thành 2 gói nhỏ ( có source là 10.3.4.4)

Vậy chứng tỏ là gói kích cỡ lớn hơn MTU khi đi vào VPN nó sẽ được phân nhỏ ra rồi mã hoá và gửi sang bên kia. Bên kia giải mã ra các mảnh đầy đủ. Chứ không bị drop.