NTTのフレッツ NGN IPv6 を使って2拠点間でIPsecを張ります。暗号化トンネルの中を通るのはIPv4パケットであり、OSPFまたはEIGRPの動的ルーティングプロトコルのパケットも透過させます。
暗号化トンネル形成にはDMVPNではなく、IPv6アドレスを用いたGRE over IPsecを採用しました。暗号化/認証アルゴリズムは esp-aes-256 / esp-sha-hmac を用い、IKEv2を使っています。一部を抜粋しますが、下記コンフィグによりトンネル自体は正常に張れてupしており通信も出来ています。
(コンフィグ例)
interface GigabitEthernet0
ipv6 address ~
ipv6 mtu 1500
!
interface Tunnel1
ip address 192.168.0.1 255.255.255.255
tunnel mode gre ipv6
tunnel source GigabitEthernet0
tunnel destination dynamic
tunnel protection ipsec profile default
!
crypto ipsec profile default
set ikev2-profile FLEX_CLIENT_PROF
set transform-set IPSEC_TRANSFORM
!
ここまで来て、上記TunnelインターフェースにMTUとMSSを設定していない事に気付きました。
このような環境/設定において、Tunnelインターフェースに設定するMTU値は何になりますでしょうか。
NGN環境におけるIPv6のMTU値は1500byteなので、GREとIPsecの下記ヘッダが加算される事を考慮すると、ペイロードとなるオリジナルパケットのMTUは 1414byte、MSSは 1374byteになると計算したのですが、この考えで合っていますでしょうか。誤りがあればご指摘いただけますと幸いです。
・IPv6 Header=40
・ESP Header=8
・ESP IV=16
・GRE Header=4
・ESP Trailer=18
参考サイト
[IPsec Overhead Calculator Tool]
https://cway.cisco.com/ipsec-overhead-calculator/