"server-A"가 IPSec 터널을 통해 "fw-A"에 연결되는 간단한 사이트 간 IPSec VPN이 있습니다. "Server-A" 앞에는 서버에 대한 1500바이트 MTU 인터페이스가 있는 스위치가 있습니다. 때때로 "fw-A" 뒤에 있는 클라이언트는 "server-A"에 큰 패킷을 보내고 서버는 ICMP "Unreachable; 조각화 필요" 메시지로 응답합니다.
11:19:22.309296 IP 10.10.10.135 > 192.168.100.4: ICMP 10.10.10.135 unreachable - need to frag (mtu 1438), length 36
10.10.10.135"Server-A" eth0 인터페이스의 IP 주소이며
192.168.100.4최종 클라이언트의 IP 주소이기도 합니다.
ICMP "연결할 수 없습니다. 조각화가 필요합니다" 메시지는 라우터(역할을 하는 서버)가 패킷을 다른 인터페이스로 라우팅하려고 하지만 해당 인터페이스의 MTU가 패킷보다 작고 라우터가 허용되지 않는 경우에만 전송된다는 점을 수정하고 있습니까? DF 플래그가 설정되었기 때문에 이 패킷이 깨졌습니까? 그렇다면 "server-A"는 어떠한 라우팅도 수행하지 않습니다. 패키지를 반복하면됩니다.라우팅 결정두 번 - 패킷에 ESP 헤더가 있는 첫 번째와 패킷에 ESP 헤더가 없는 두 번째입니다. 두 경우 모두 대상은 10.10.10.135이고 경로의 MTU는 65536바이트여야 합니다.
# ip route get 10.10.10.135
local 10.10.10.135 dev lo src 10.10.10135
cache <local>
# ip link show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
#
누군가 이 동작을 설명할 수 있나요?