Команда crypto ipsec df-bit используется для установки DF-бита во внешнем заголовке пакета после IPsec инкапсуляции в туннельном режиме. Установка распространяется на один конкретный интерфейс. Команда доступна в режиме настройки интерфейса.
Синтаксис crypto ipsec df-bit {clear | set | copy}
no crypto ipsec df-bit
clear DF-бит внешнего IP-заголовка будет очищен и пакет может быть фрагментирован после IPsec инкапсуляции
set DF-бит внешнего IP-заголовка будет установлен, фрагментация пакета запрещена
copy DF-бит внешнего IP-заголовка устанавливается в то же значение, какое было у оригинального пакета.
Значение по умолчанию значение DF-бита, установленное в глобальном конфигурационном режиме.
Режимы команды Interface configuration.
Рекомендации по использованию
Используйте команду crypto ipsec df-bit в режиме настройки интерфейса для установки бита DF в пакетах, проходящих через данный интерфейс.
Эта команда аннулирует установки DF-бита для данного интерфейса, выполненные в глобальном конфигурационном режиме.
При возникновении проблем с передачей больших пакетов (например, если по какой-то причине не удается заставить работать механизм Path MTU Discovery) можно установить параметр clear на интерфейсе шлюза S-Terra Gate, если размер пакета после инкапсуляции превышает значение MTU маршрутизаторов на пути следования IPsec пакета.
Команда no crypto ipsec df-bit отменяет установленное значение DF-бита для интерфейса и начинает действовать значение DF-бита, установленное по умолчанию (в глобальном конфигурационном режиме значение DF-бита устанавливается командой crypto ipsec df-bit).
Пример
Ниже приведен пример как установить DF-бит в заголовке пакетов, проходящих через конкретный интерфейс:
Router(config-if)#crypto ipsec df-bit set