总部与分公司IPSec VPN中RTP语音流量无声音问题

在许多企业网络环境中，总部与分公司之间通过GRE over IPSec建立VPN隧道是一种常见的设计方案。这种设计结合了GRE协议的多协议支持能力和IPSec的安全性，能够为分布式企业提供安全可靠的互联互通。

在实际部署中，我们经常采用”全部流量从总部出”的架构，即分公司的互联网流量也通过IPSec隧道回流到总部，统一由总部的防火墙进行安全控制和出站管理。这种架构下，日常办公应用如微信登录、网页浏览等通常表现正常，但在处理实时音视频流量（如网络电话）时却可能出现问题。

具体表现为：网络电话能够正常拨通，建立连接，但通话中没有声音。经过排查，发现问题根源在于报文分片处理不当——IPSec封装后的报文超过了路径MTU，导致分片问题影响实时传输协议(RTP)流量的正常传输。

技术原理深度解析

1. MTU与报文分片

MTU（最大传输单元）是指网络能够传输的最大数据包大小，以太网环境中通常为1500字节。当待发送的报文大小超过MTU时，系统会对其进行分片处理。

在GRE over IPSec环境中，原始数据包需要经过多层封装：

• GRE头部：4字节
• IPSec头部（ESP）：通常约20-50字节
• 新IP头部：20字节

这意味着原始数据包经过封装后，会增加约50-70字节的额外开销。当一个接近1500字节的原始数据包被封装后，很容易超过1500字节的MTU限制。

2. IPSec与分片交互的两种模式

分片前加密模式：

• 先对原始IP包进行分片
• 然后对每个分片单独进行IPSec加密封装
• 问题：接收方需要先解密才能重组，效率低下且可能造成安全策略问题

分片后加密模式：

• 先对完整IP包进行IPSec加密封装
• 然后对封装后的大包进行分片
• 优势：接收方直接重组分片后解密，效率更高

3. DF位与路径MTU发现

IP头部中的DF（Don’t Fragment）位指示路由器是否应该对数据包进行分片。当DF位设置为1时，如果数据包超过MTU，路由器会丢弃它并返回”需要分片”的ICMP消息。

在IPSec VPN环境中，DF位的处理策略直接影响分片行为：

DF位处理策略	优点	缺点
清除DF位	避免PMTUD问题，确保通信	可能产生分片，影响性能
保留DF位	支持PMTUD，避免分片	依赖ICMP，可能被防火墙阻挡
设置DF位	强制使用PMTUD	完全依赖ICMP，风险最高

4. TCP MSS调整

TCP MSS（最大分段大小）是TCP连接建立时协商的每个TCP段的最大负载数据量。通过调整MSS值，可以确保TCP数据包加上TCP/IP头部后不会超过路径MTU，从而避免分片。

解决方案实施步骤

以下是针对H3C防火墙设备的完整配置流程：

步骤1：清除IPSec接口的DF位

# 进入外网接口视图
interface GigabitEthernet1/0/1  # 根据实际接口调整
 ip address x.x.x.x y.y.y.y     # 配置公网IP地址
 ipsec df-bit clear             # 清除DF位，允许分片
#

此命令确保IPSec封装后的数据包在超过MTU时可以被分片，而不是被丢弃。

步骤2：启用分片后加密模式

# 系统视图下配置
system-view
 ipsec fragmentation after-encryption
#

此配置确保先进行IPSec加密封装，然后再进行分片，提高处理效率。

步骤3：调整内网接口TCP MSS

# 进入内网接口视图
interface GigabitEthernet1/0/2
 ip address 192.168.1.1 255.255.255.0  # 配置内网IP
 tcp mss 1200                          # 设置TCP最大分段大小为1200
#

将TCP MSS设置为1200，确保TCP数据加上TCP/IP头部(40字节)、GRE头部(4字节)和IPSec头部(约50字节)后不会超过1500字节。

验证与测试

配置完成后，请通过以下方式验证解决方案的有效性：

1. 连通性测试：

   ping -l 1472 10.0.0.2  # 测试大包传输

2. 语音质量测试：

• 进行网络电话通话，确认声音传输正常
• 使用网络质量监测工具检查丢包率和延迟

2. 路径MTU验证：

   ping -f -l 1472 10.0.0.2  # 测试路径MTU

方案优势与注意事项

方案优势

1. 解决了RTP语音流量无声音的问题
2. 优化了IPSec VPN中的分片处理效率
3. 保持了网络的安全性和稳定性
4. 配置简单，易于实施和维护

注意事项

1. 调整MTU和MSS值应根据实际网络环境进行微调
2. 清除DF位可能会增加网络中间设备的处理负担
3. 建议在业务低峰期进行配置变更
4. 配置变更后务必进行全面测试

总结

通过本文介绍的GRE over IPSec报文分片优化方案，可以有效解决总部与分公司VPN网络中RTP语音流量无声音的问题。关键在于正确处理IPSec封装与分片的关系，以及合理调整MTU和MSS参数。

这套方案不仅适用于H3C防火墙设备，其原理同样适用于其他品牌的网络设备，只需根据具体设备的命令行界面进行相应调整。在实际部署中，建议根据网络具体情况进行参数微调，以达到最佳性能表现。

希望本教程对遇到类似问题的网络工程师有所帮助。如果您有任何疑问或需要进一步探讨，欢迎在评论区留言交流。

可以参考这篇关于报文分片的文章：

https://blog.csdn.net/challenglistic/article/details/126628968