Команда crypto ipsec df-bit используется для установки DF-бита для заголовка инкапсуляции в туннельном режиме. Установка распространяется на все интерфейсы шлюза безопасности. C префиксом no команда устанавливает значение по умолчанию. Команда доступна в режиме глобальной настройки конфигурации.
Синтаксис crypto ipsec df-bit {clear | set | copy}
no crypto ipsec df-bit
clear DF-бит внешнего IP-заголовка будет очищен и шлюз может фрагментировать пакет после IPsec инкапсуляции
set DF-бит внешнего IP-заголовка будет установлен, фрагментация пакета будет запрещена
copy DF-бит внешнего IP-заголовка устанавливается в то же значение, какое было у оригинального пакета.
Значение по умолчанию по умолчанию установлено значение copy.
Режимы команды Global configuration.
Рекомендации по использованию
Используйте команду crypto ipsec df-bit в режиме глобальной настройки конфигурации вашего шлюза в части установки параметра DF-бит.
При возникновении проблем с передачей больших пакетов (например, если по какой-то причине не удается заставить работать механизм Path MTU Discovery) можно установить параметр clear на шлюзе S-Terra Gate, если размер пакета после инкапсуляции превышает значение MTU интерфейса на пути следования IPsec пакета.
Пример
Ниже приведен пример как очистить поле DF bit в пакетах, проходящих через все интерфейсы:
Router(config)#crypto ipsec df-bit clear