crypto isakmp fragmentation

Команда crypto isakmp fragmentation включает режим фрагментирования IKE-пакетов. Максимальный размер IP-пакета выставляется в 576 байтов[1] (аналогично Cisco IOS).
Отключить фрагментирование можно с помощью той же команды с префиксом no.

Синтаксис           crypto isakmp fragmentation

                    no crypto isakmp fragmentation

Значение по умолчанию                    по умолчанию фрагментирование IKE-пакетов отключено.

Режимы команды                               Global configuration

Рекомендации по использованию 

Фрагментирование IKE-пакетов необходимо в тех случаях, когда в процессе доставки длинные UDP-пакеты либо не пропускаются промежуточным узлом, либо некорректно фрагментируется на ip-уровне. Проблема актуальна для IKE-пакетов с потенциально длинным содержимым: сертификаты, идентификаторы, открытые ключи и инициализационные данные.

IKE-пакеты, отсылаемые непосредственно после их формирования, всегда отсылаются нефрагментированными.

Если от партнёра не получен ответ, и принимается решение о перепосылке (ретрансмиссии) пакета, то проверяется:

1. Активировано ли IKE-фрагментирование на локальном устройстве;
2. Активировано ли IKE-фрагментирование на стороне партнёра. (Примечание: первый пакет сессии не может быть фрагментирован, поскольку нет сведений, активировано ли IKE-фрагментирование на стороне ответчика);
3. Превышает ли размер перепосылаемого пакета значение, вычисленное из заданной величины FragmentSize с учётом всех возможных дополнительных заголовков.

В случае выполнения всех условий перепосылаемый IKE-пакет разбивается на блоки. Максимально возможное количество блоков не превышает 255 фрагментов. Минимально возможная результирующая длина фрагмента с UDP-заголовком – 304 байта.

Если условия не выполнены, то ретрансмиссия отсылается без фрагментирования.