1  # MTU
 2  
 3  Напоследок обсудим один коварный момент – размер MTU. В жизни каждого системного/сетевого администратора наступает момент, когда симптомы проблемы таковы: открывается яндекс, работает пинг, но ни один другой сайт не доступен и Outlook не коннектится.
 4  
 5  Дьявол кроется в размере MTU и наличии дополнительных заголовков.
 6  
 7  MTU – Maximum Transmission Unit. Это максимальный размер блока данных, который может быть передан через интерфейс. Это понятие находится на пересечении L2 и L3 и его интерпретация может различаться для разных вендоров.
 8  
 9  Например, типичный размер MTU для физического L3-интерфейса 1500. То есть, грубо говоря, IP-пакет размером 1500 байт будет обработан, а 1501 – отброшен или фрагментирован. Зачастую фрагментация пакетов запрещена, и потому большие пакеты отбрасываются.
10  
11  Если вы используете туннелирование, размер пакета увеличивается засчёт дополнительных заголовков \(GRE, IPSec и т.д.\)  
12  Например, для GRE: 24 байта \(GRE, Новый IP\).  
13  Для GRE over IPSec: 56 и [более](http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/872-cisco-router-gre-ipsec-tunnel-transport.html) байтов \(зависит от режима работы и типа шифрования\)  
14  Для PPPoE: 36 \(PPP, PPPoE, Ethernet\)
15  
16  Сам туннельный интерфейс имеет стандартный MTU 1514 и пропускает такие пакеты, но у провайдера на физическом интерфейсе стоит MTU=1500, и на нём пакет будет отброшен:
17  
18  > R1\#sh int tun 0  
19  > Tunnel0 is up, line protocol is up  
20  > Hardware is Tunnel  
21  > Internet address is 10.2.2.1/30  
22  > **MTU 1514 bytes**, BW 9 Kbit, DLY 500000 usec,  
23  >   
24  > R1\#sh int fa0/1  
25  > FastEthernet0/1 is administratively down, line protocol is down  
26  > Hardware is Gt96k FE, address is c000.19ac.0001 \(bia c000.19ac.0001\)  
27  > **MTU 1500 bytes**, BW 10000 Kbit, DLY 1000 usec,
28  
29  То есть вы должны учитывать не только свои настройки, но и настройки всех промежуточных узлов.  
30  Зачастую у вас нет возможности влиять на MTU по пути.  
31  Поэтому вы можете уменьшить MTU, на локальной стороне, использовать механизм [Path MTU Discovery](http://www.opennet.ru/base/net/pmtu_troubles.txt.html) или даже настраивать MSS – Maximum Segment Size \(относится уже к TCP\).  
32  Подробнее о проблемах с MTU читайте [тут](http://www.opennet.ru/base/net/pppoe_mtu.txt.html) и [тут](https://supportforums.cisco.com/thread/150917)
33  
34  Для всевозможных туннелей это совершенно типичная проблема.
35  
36  Почему же работают пинг и яндекс?  
37  Пакеты ICMP Request и Relpy имеют размер от 32 до 64 байтов, ya.ru возвращает очень мало информации, которая вполне укладывается в допустимый размер 1500 вместе со всеми заголовками.
38  
39  **P.S.**К сожалению, незатронутыми остались следующие небезынтересные темы:
40  
41  Полностью пролетели мимо темы удалённого доступа для сотрудников.  
42  Кроме того очень актуальна сейчас тема FlexVPN. Это новый виток развития VPN-технологий. Но использует IKE версии 2 и поддерживается в данный момент, как обычно только оборудованием cisco.  
43  Нам бы действительно хотелось уделить внимание и этим и тем и вот ещё тем темам, но всё уложить в рамки одной статьи невозможно.
44