1目錄（Contents）虛擬專用網(wǎng)的定義001虛擬專用網(wǎng)的類型010虛擬專用網(wǎng)的工作原理011虛擬專用網(wǎng)的關(guān)鍵技術(shù)100如果某組織機(jī)構(gòu)在多個地區(qū)有分公司，如何建立公司的安全網(wǎng)絡(luò)？方案一：租用電信運(yùn)營商的線路，將各分公司連接起來；組建的網(wǎng)絡(luò)稱為私有網(wǎng)絡(luò)/專網(wǎng)(privatenetwork)價格昂貴方案二：虛擬私有網(wǎng)絡(luò)/虛擬專用網(wǎng)/VPN2為什么需要VPN？租用線路虛擬專用網(wǎng)（VirtualPrivateNetwork,VPN）是在公共網(wǎng)絡(luò)上傳輸私有通信的方法VPN通常使用（加密的）隧道將兩個或多個專用網(wǎng)絡(luò)連接起來3VPN基礎(chǔ)節(jié)省開支：使用IP網(wǎng)絡(luò)連接遠(yuǎn)程用戶和公司的服務(wù)器，節(jié)省了使用專用WAN的開銷安全：利用加密和認(rèn)證技術(shù)，保證數(shù)據(jù)的私有性和安全性服務(wù)質(zhì)量保證（QoS）：以不同要求提供不同等級的服務(wù)質(zhì)量保證可擴(kuò)展性：允許公司在不用附加重要基礎(chǔ)設(shè)施的條件下增添功能容易訪問：可在任何地方訪問公司網(wǎng)絡(luò)可管理性：可以從用戶和運(yùn)營商角度進(jìn)行管理

4VPN的優(yōu)點(diǎn)加密VPN(構(gòu)建安全VPN的首選):采用數(shù)據(jù)加密實(shí)現(xiàn)通信安全例：IPSec，SSL非加密VPN：使兩個或多個專用網(wǎng)絡(luò)連接起來，以便用戶可以在各自的網(wǎng)絡(luò)中無縫的訪問資源專用網(wǎng)絡(luò)間的安全通信無法保證GRE、MPLS（多協(xié)議標(biāo)簽交換）5VPN的分類（按是否采用加密技術(shù)）：1.不能保證通信安全性的VPN類型（如GRE）通常采用上層協(xié)議加密（如SSL）來保證數(shù)據(jù)機(jī)密性2.一些情況下，會合并其中的兩種，如IPSec+GRE6VPN的分類將VPN如此劃分的主要原因是安全策略的差異！IntranetVPNInternet公司網(wǎng)絡(luò)VPN集中器移動用戶遠(yuǎn)程工作者合作伙伴分公司ExtranetVPNAccessVPN遠(yuǎn)程訪問VPN：移動工作人員、遠(yuǎn)程辦公人員等安全訪問企業(yè)網(wǎng)絡(luò)；使用PSTN、ISDN、DSL和移動IP等方式接入企業(yè)內(nèi)部VPN：企業(yè)總部、遠(yuǎn)程辦事處和分公司等安全訪問企業(yè)網(wǎng)絡(luò)企業(yè)外部VPN：外部的客戶、合作伙伴等安全訪問企業(yè)網(wǎng)絡(luò)企業(yè)內(nèi)部VPN和外部VPN統(tǒng)稱為site-to-siteVPN遠(yuǎn)程訪問VPN，又稱撥號VPN（VPDN）：遠(yuǎn)程工作人員利用當(dāng)?shù)豂SP的網(wǎng)絡(luò)接入，使用本機(jī)的VPN客戶端軟件，連接公司的VPN網(wǎng)關(guān)建立私有的隧道連接公司內(nèi)網(wǎng)中的RADIUS等AAA服務(wù)器對用戶進(jìn)行驗(yàn)證和授權(quán)7VPN的分類SP提供的硬件平臺VPN：Cisco，華為，H3C（3Com），銳捷輔助硬件平臺VPN：在現(xiàn)有硬件設(shè)備的基礎(chǔ)上，增添適當(dāng)?shù)腣PN軟件——VPN路由器，VPN網(wǎng)關(guān)基于防火墻的VPN：在防火墻產(chǎn)品的基礎(chǔ)上增加VPN功能軟件VPN：Windows和Linux系統(tǒng)都可以實(shí)現(xiàn)8VPN產(chǎn)品系列隧道化：通過Internet基礎(chǔ)設(shè)施，在企業(yè)網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)包隧道協(xié)議將不同類型協(xié)議的數(shù)據(jù)包重新封裝在新的包中發(fā)送一般不提供數(shù)據(jù)保護(hù)加密：對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以確保數(shù)據(jù)在傳輸過程中的安全9建立VPN的兩個基本問題協(xié)議描述標(biāo)準(zhǔn)協(xié)議描述標(biāo)準(zhǔn)GRE通用路由封裝RFC1701和2784L2TP第2層隧道協(xié)議RFC2661MPLS多協(xié)議標(biāo)簽交換RFC2547PPTP點(diǎn)對點(diǎn)隧道協(xié)議MicrosoftRFC2637IPSecInternet協(xié)議安全RFC2401L2F第2層轉(zhuǎn)發(fā)CiscoSSL/TLS安全套接字/傳輸層安全RFC610110主要的VPN隧道協(xié)議第三層隧道協(xié)議主要用于構(gòu)建站點(diǎn)到站點(diǎn)VPN第二層隧道協(xié)議主要用于構(gòu)建遠(yuǎn)程訪問VPN第四層隧道協(xié)議11二層VPN由Microsoft開發(fā)，在其他廠商參與后成為RFC2637

標(biāo)準(zhǔn)允許PPP通過IP網(wǎng)絡(luò)被隧道化（封裝）客戶端/服務(wù)器體系結(jié)構(gòu)12點(diǎn)到點(diǎn)隧道協(xié)議PPTPPPTP接入集中器PPTP網(wǎng)絡(luò)服務(wù)器PPTP通過PPTP控制連接來創(chuàng)建、維護(hù)、終止一條隧道，并使用通用路由封裝GRE對PPP幀進(jìn)行封裝。

PPTP協(xié)議假定在PPTP客戶機(jī)和PPTP服務(wù)器之間有連通且可用的IP網(wǎng)絡(luò)如果客戶機(jī)本身已經(jīng)是某IP網(wǎng)絡(luò)的組成部分，那么即可通過該IP網(wǎng)絡(luò)與PPTP服務(wù)器取得連接如果客戶機(jī)尚未連入網(wǎng)絡(luò)，譬如撥號情形下，客戶機(jī)必須首先撥打NAS以建立IP連接13點(diǎn)到點(diǎn)隧道協(xié)議PPTPPPTP本身不提供加密和身份驗(yàn)證的功能，依靠點(diǎn)對點(diǎn)協(xié)議PPP來實(shí)現(xiàn)安全功能PPTP協(xié)議被內(nèi)置在Windows系統(tǒng)中，微軟通過PPP協(xié)議棧提供各種身份驗(yàn)證與加密機(jī)制身份認(rèn)證：擴(kuò)展身份認(rèn)證協(xié)議（EAP，ExtensibleAuthenticationProtocol）、微軟的挑戰(zhàn)握手協(xié)議（MS-CHAP，ChallengeHandshakeAuthenticationProtocol）、密碼認(rèn)證協(xié)議（PAP，PasswordAuthenticationProtocol）加密：Microsoft點(diǎn)對點(diǎn)加密（MPPE，MicrosoftPoint-to-PointEncryption）14PPTP與PPPL2TP(Layer2TunnelingProtocol)：CiscoL2F(Layer2Forwarding)和PPTP的結(jié)合，RFC3991L2TP用PPP協(xié)議對數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸15L2TP16L2TP配置L2TP接入集中器PPP連接L2TP隧道L2TP網(wǎng)絡(luò)服務(wù)器L2TP隧道可分為兩種類型：強(qiáng)制性隧道自發(fā)性隧道17L2TP隧道的類型用戶完全不知道L2TP連接表現(xiàn)形式用戶知道L2TP連接表現(xiàn)形式18PPTP與L2TP比較PPTPL2TP數(shù)據(jù)封裝PPP協(xié)議PPP協(xié)議端點(diǎn)間隧道數(shù)目單一隧道針對不同QoS創(chuàng)建不同隧道隧道驗(yàn)證不支持支持需要的網(wǎng)絡(luò)支持IPIP（使用UDP）幀中繼X.25ATM通用路由封裝GRE(GenericRoutingEncapsulation)

通過隧道將通信從一個專用網(wǎng)絡(luò)傳輸?shù)搅硪粋€專用網(wǎng)絡(luò)19通用路由封裝GRE將任何其它協(xié)議嵌入在GRE中并用IPv4作為傳輸機(jī)制的使用！傳輸頭GRE頭部負(fù)載分組IPv4的頭部GRE的頭部GRE允許非IP分組在有效載荷中被傳輸，如IPX，AppleTalk等連接兩個專用網(wǎng)絡(luò)可以使用兩個對等路由器的GRE隧道20連接兩個專用網(wǎng)絡(luò)的簡單GRE隧道InternetGRE-1GRE-2/24/24對多個站點(diǎn)進(jìn)行GRE隧道連接時：GRE隧道是點(diǎn)到點(diǎn)連接，即任意兩個想交互的路由器都必須有一個專用的GRE隧道來連接每個路由器上可建立多條隧道，使他能直接連接到其他路由器上21多個站點(diǎn)的GRE隧道/24InternetRouter1Router2Router30/24/24GRE本身不提供安全性，通常與其他加密協(xié)議一起提供安全性在Cisco設(shè)備中，GRE有時也和網(wǎng)絡(luò)層加密協(xié)議一同使用，如IPSec用GRE封裝非IP通信（IPX、Appletalk）并使用IPSec協(xié)議來加密GRE分組幫助IPSec支持組播傳遞，加密組播流量路由協(xié)議：OSPF，EIGRP，RIPv2視頻，VoIP，音樂流等22GRE的安全性IPSec的類型IPSec的工作模式IPSec的組成IPSec的功能IPSec的工作過程IPSec的分組封裝IKE相關(guān)安全選項(xiàng)IPSec的設(shè)計(jì)23IPSecIPSec是用于構(gòu)建VPN的一系列協(xié)議，正在成為創(chuàng)建VPN的標(biāo)準(zhǔn)為提供加密安全服務(wù)而開發(fā)，支持認(rèn)證、完整性、訪問控制以及數(shù)據(jù)一致性IPSec只允許IP數(shù)據(jù)的封裝和加密如果為非IP數(shù)據(jù)流量創(chuàng)建隧道，得同諸如GRE等協(xié)議聯(lián)合使用24IPSec概述訪問控制無連接的完整性數(shù)據(jù)源認(rèn)證防止重放攻擊機(jī)密性（加密）25IPSec的功能26IPSec體系結(jié)構(gòu)IP安全體系結(jié)構(gòu)封裝安全載荷（ESP）認(rèn)證頭（AH）加密算法驗(yàn)證算法解釋域（DOI）密鑰管理策略協(xié)議功能IKE提供協(xié)商安全參數(shù)和創(chuàng)建認(rèn)證密鑰等ESP提供加密、認(rèn)證和數(shù)據(jù)保護(hù)AH提供認(rèn)證和數(shù)據(jù)保護(hù)27IPSec的組成Internet密鑰交換協(xié)議（IKE）封裝協(xié)議：負(fù)載安全封裝（ESP,EncapsulatingSecurityPayload）認(rèn)證報(bào)頭協(xié)議（AH，AuthenticationHeader）IPSec在不同應(yīng)用需求下有不同的工作模式，分別為：傳輸模式（TransportMode）

——兩部主機(jī)之間（點(diǎn)到點(diǎn)）傳遞的數(shù)據(jù)加密：如PC通過POP3協(xié)議連接到公司的郵件服務(wù)器收取郵件

隧道模式（TunnelMode）

——兩個不同的網(wǎng)段（站點(diǎn)到站點(diǎn)）所傳送的數(shù)據(jù)內(nèi)容加密或者兩個私有IP網(wǎng)段穿越Internet連接28IPSec的工作模式

隧道傳輸模式

隧道隧道模式區(qū)別：數(shù)據(jù)包在傳輸過程中是否需要更改IP報(bào)頭29IPSec的工作模式30IPSec的工作過程IPSec啟動IKE階段1IKESAIKESAIKE階段2IPSecSAIPSecSAIPSec隧道IPSec隧道終止分組封裝由ESP或AH或兩者一起處理AH（認(rèn)證頭，RFC2402）是為IP數(shù)據(jù)報(bào)提供無連接的完整性和數(shù)據(jù)源認(rèn)證的機(jī)制使用加密哈希函數(shù)（HMAC-MD5-96、HMAC-SHA-96、加密的MD5）ESP提供了AH的大部分保護(hù)加上額外的機(jī)密性使用DES、3DES、AES、RC5、IDEA一般情況下使用ESP31IPSec中分組的封裝32在傳輸模式下的數(shù)據(jù)封裝

隧道AR2R1BIPTCPDataAHAH協(xié)議驗(yàn)證部分(不包括AH部分)IPTCPDataESP頭ESPTrailerESPAuthTrailerESP協(xié)議加密部分ESP協(xié)議認(rèn)證部分AH封裝ESP封裝保護(hù)報(bào)頭中在傳送時不被改變的所有域33AH驗(yàn)證數(shù)據(jù)完整34在網(wǎng)關(guān)到網(wǎng)關(guān)隧道模式下的數(shù)據(jù)封裝

隧道AR2R1BAH封裝IPSRC=ADST=BTCPDataIPSRC=R1DET=R2AHAH協(xié)議驗(yàn)證部分ESP封裝IPSRC=ADST=BTCPDataIPSRC=R1DET=R2ESPHeaderESP協(xié)議驗(yàn)證部分ESPTrailerESPAuthTrailerESP協(xié)議加密部分35在主機(jī)到網(wǎng)關(guān)隧道模式下的數(shù)據(jù)封裝

隧道AR2R1BAH封裝IPSRC=ADST=BTCPDataIPSRC=ADET=R2AHAH協(xié)議驗(yàn)證部分ESP封裝IPSRC=ADST=BTCPDataIPSRC=ADET=R2ESPHeaderESP協(xié)議驗(yàn)證部分ESPTrailerESPAuthTrailerESP協(xié)議加密部分問題：密鑰是如何生成的那？36回到IPSec的工作過程IPSec啟動IKE階段1IKESAIKESAIKE階段2IPSecSAIPSecSAIPSec隧道IPSec隧道終止因特網(wǎng)密鑰交換協(xié)議：用于協(xié)商IPSec安全關(guān)聯(lián)（securityassociation，SA），要求IPSec系統(tǒng)首先進(jìn)行身份認(rèn)證，并且建立ISAKMP或者IKE共享密鑰SA包括兩類：IKESA：雙向的IPSecSA：單向的

建立雙向的VPN需要兩個SA主要負(fù)責(zé)：協(xié)商協(xié)議的參數(shù)交換公共密鑰對雙方進(jìn)行認(rèn)證在交換后對密鑰進(jìn)行管理37InternetKeyExchange（IKE）IKE是ISAKMP，Oakley和SKEME協(xié)議的混合ISAKMP

(Internet安全關(guān)聯(lián)和密鑰管理協(xié)議，InternetSecurityAssociationandKeyManagementProtocol，RFC2408)：

定義協(xié)議框架（認(rèn)證通信對等體，創(chuàng)建和管理SA，密鑰生成技術(shù)和減輕威脅的過程）38IKEISAKMP框架IKEOakleySKEMEDiffie-HellmanGroupOakley：具體定義ISAKMP框架中的密鑰交換和服務(wù)使用Diffie-Hellman密鑰交換或者密鑰許可算法來創(chuàng)建一個唯一的、共享的加密密鑰該密鑰作為生成身份認(rèn)證和加密所需的密鑰材料SKEME(安全密鑰交換機(jī)制)：通用密鑰交換技術(shù)，提供匿名性、防抵賴和快速刷新39IKESA：代表兩對等體或兩主機(jī)之間的契約，描述對等體將怎樣使用IPSec安全服務(wù)來保護(hù)網(wǎng)絡(luò)流量包括對等體之間安全傳輸數(shù)據(jù)包所需的安全參數(shù)，（也稱在IPSec中使用的安全策略）SPI：32位數(shù)字，用來標(biāo)識每個建立的SASPI被寫入IPSec報(bào)頭，用來在接收系統(tǒng)中定位適當(dāng)?shù)腟A40概念：安全關(guān)聯(lián)SA(securityAssociation)安全關(guān)聯(lián)由一些參數(shù)值組成，例如目的地址、安全索引參數(shù)SPI、用于該會話的IPSec封裝、安全密鑰以及一些附屬屬性（如IPSec的生存周期）41安全關(guān)聯(lián)SA7A3655BCAH,HMAC-MD57574CA49FF458245Onedayor100MB目的地址/源地址安全參數(shù)索引SPIIPSec封裝等密鑰生存周期存放在SAD中的參數(shù)有：SPI目的端IPAH或ESP、AH驗(yàn)證算法、AH驗(yàn)證的加密密鑰、ESP驗(yàn)證算法、ESP驗(yàn)證的加密密鑰、ESP的加密算法、ESP的加密密鑰傳輸或者隧道模式42安全關(guān)聯(lián)數(shù)據(jù)庫SAD安全策略數(shù)據(jù)庫（SPD）用來存放IPSec的規(guī)則，以定義哪些流量需要進(jìn)行IPSec保護(hù)，并搜索與報(bào)文分組定義以及相關(guān)聯(lián)的安全策略一致的SA如果SA不存在，就用IKE創(chuàng)建SA如果存在，應(yīng)用指定的處理和安全協(xié)議（AH/ESP）將SA的SPI插入到IPSec首部中當(dāng)收到報(bào)文分組時，通過IP地址、協(xié)議和SPI查找該SA，根據(jù)SA對報(bào)文進(jìn)行處理43安全策略數(shù)據(jù)庫SPD問題：IKE如何創(chuàng)建SA？？44IKE運(yùn)行流程主機(jī)A主機(jī)B應(yīng)用程序應(yīng)用程序IPSec安全策略IP

IPSecDriverIPIPSecDriverIPSec安全策略①②②如果不需要IPSec，直接進(jìn)入IP層；⑥需要則進(jìn)入IPSec機(jī)制IKEIKE④非IPSec數(shù)據(jù)流IPSec數(shù)據(jù)流③⑤⑥⑦⑧⑨⑩SPDSADIKE是一個兩階段的協(xié)議：階段1：主模式(mainmode)或積極模式(aggressivemode/聚集模式)協(xié)商并創(chuàng)建一個通信信道（IKESA），并對該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù)階段2：快速模式（quickmode）使用已建立的IKESA建立IPsecSA45使用IKE協(xié)議建立IPSec隧道階段模式IKE階段1建立安全、認(rèn)證的IKESA主模式（6條消息）保護(hù)身份識別信息（*IKE協(xié)商標(biāo)準(zhǔn)模式）積極模式（3條消息）明文身份識別信息沒有DH組協(xié)商選項(xiàng)IKE階段2交換創(chuàng)建IPSecSA必要的信息快速模式（3條消息）建立IPSecSA參數(shù)（ESP，AH，SHA，MD5）SA生命期，會話密鑰46使用IKE協(xié)議建立IPSec隧道IKE階段1安全通信信道

IKE階段2IPSec隧道主模式/積極模式快速模式47IKE階段1：主模式1.協(xié)商IKE策略2.經(jīng)過認(rèn)證的DH交換4.認(rèn)證IKE端點(diǎn)身份加密的3.計(jì)算DH共享密鑰并生成密鑰素材InternetIKE報(bào)文1(SA提議)IKE報(bào)文2(接受的SA)IKE報(bào)文3(DH公共值,Nonce)IKE報(bào)文4(DH公共值,Nonce)IKE報(bào)文5(認(rèn)證素材,ID)IKE報(bào)文6(認(rèn)證素材,ID)481.協(xié)商IKE策略Internet加密：DES散列：MD5-HMACDH組：1認(rèn)證：預(yù)共享加密：DES散列：MD5-HMACDH組：1認(rèn)證：RSA加密加密：DES散列：MD5-HMACDH組：1認(rèn)證：預(yù)共享指定安全通信信道安全策略的屬性。協(xié)商散列機(jī)制、加密機(jī)制、認(rèn)證方法和DH組號等492.DH交換+3.生成密鑰素材InternetIKE報(bào)文3(DH公共值ga,NonceNi)IKE報(bào)文4(DH公共值gb,NonceNj)DH共享密鑰Pre-sharedKey=gabSKYID=PRF(PreshardKey,Ni,Nj)=PRF(gab,Ni,Nj)SKYID_d=PRF(SKYID,gab|…|0)!用于計(jì)算后續(xù)的IPSec密鑰資料SKYID_a=PRF(SKYID,SKYID_d|gab|…|1)!用于提供IKE消息的完整性和認(rèn)證SKYID_e=PRF(SKYID,SKYID_a|gab|…|2)!用于加密IKE消息該階段發(fā)送兩個負(fù)載，并都用SKYID_e加密：標(biāo)識負(fù)載—包含發(fā)起者標(biāo)識的信息，如發(fā)起者的IP地址或主機(jī)名散列負(fù)載—利用散列值進(jìn)行認(rèn)證504.端點(diǎn)認(rèn)證Hash=PRF(SKYID,…,PresharedKey,SApayload,…,ID)認(rèn)證的是設(shè)備，而非用戶！51IKE階段2：快速模式計(jì)算加密素材報(bào)文1：哈希、SA、提議和變換、密鑰交換和nonce、ID驗(yàn)證哈希（確保消息的完整性/認(rèn)證），通過后用報(bào)文2響應(yīng)：哈希、SA、提議和變換、密鑰有效載荷和nonce、ID驗(yàn)證報(bào)文2中的哈希。雙方都生成2個會話密鑰（每個方向一個）。以報(bào)文3響應(yīng)：前兩個報(bào)文nonce的哈希值Internet①報(bào)文1③報(bào)文2⑤

報(bào)文3②驗(yàn)證報(bào)文1④驗(yàn)證報(bào)文2⑥驗(yàn)證報(bào)文3用SKEYID_d，DH共享密鑰，SPI等產(chǎn)生真正用來加密數(shù)據(jù)的密鑰52IKE站點(diǎn)到站點(diǎn)考慮：每個IPSec網(wǎng)關(guān)都有一個公共可路由的IP地址網(wǎng)關(guān)內(nèi)部使用RFC1918地址，外部使用可路由地址隧道模式允許RFC1918地址無需修改就可以到達(dá)遠(yuǎn)程站點(diǎn)53NAT54典型的RFC1918IPSecInternet/24/24.50.50R1R2

隧道模式IPSec

IP源=0目的=0TCPDataIP源=0目的=0TCPDataTCPIP源=0目的=0TCPDataTCP帶有ESP的IP數(shù)據(jù)報(bào)ESP頭ESP尾ESP認(rèn)證IP源=目的=遠(yuǎn)程用戶考慮：靜態(tài)NAT不可行，因?yàn)檫h(yuǎn)程用戶可能一直在改變位置需要多對一NAT。但是多對一NAT不能和IPSec一起工作解決多對一NAT的協(xié)議標(biāo)準(zhǔn)正由IETF開發(fā)現(xiàn)有的解決辦法：Cisco通過隧道將IPSecESP數(shù)據(jù)包封裝在UDP數(shù)據(jù)包中，允許數(shù)據(jù)包通過NAT設(shè)備55NAT56GRE+IPSec組合InternetR1R2

隧道模式IPSec

IP源=A目的=B帶有ESP的GREIP數(shù)據(jù)報(bào)ESP頭ESP尾ESP認(rèn)證ABGRE頭TCPDataTCPIP源=R1目的=R2GRE頭TCPDataTCPTCPDataTCPTCPDataTCPIP源=A目的=BIP源=A目的=BIP源=A目的=BIP源=R1目的=R2TCPDataTCPIP源=R1目的=R2GRE頭IP源=A目的=B可以通過允許ICMP類型3編碼4

的消息來處理分片，MTU發(fā)現(xiàn)（PMTUD）功能作用于IP分片57分片和路徑最大傳輸單元發(fā)現(xiàn)沒有設(shè)置DF（Don’tFragment）位時的IP分片MTU1500MTU1400MTU1500主機(jī)A主機(jī)B1500數(shù)據(jù)報(bào)（沒有設(shè)置DF位）120分片數(shù)據(jù)報(bào)1400120數(shù)據(jù)分片數(shù)據(jù)報(bào)到達(dá)主機(jī)1400主機(jī)重新組裝數(shù)據(jù)報(bào)150058分片和路徑最大傳輸單元發(fā)現(xiàn)基本的PMTUDMTU1500MTU1400MTU1500主機(jī)A主機(jī)B1500數(shù)據(jù)報(bào)（設(shè)置了DF位）ICMPType3Code4MTU1400向客戶發(fā)送“數(shù)據(jù)報(bào)太大”使用較低MTU，重傳1400數(shù)據(jù)報(bào)達(dá)到主機(jī)1400使用GRE時，除了當(dāng)傳輸介質(zhì)MTU為1500時，需要將M