Команда crypto ipsec df-bit используется для установки DF-бита для заголовка инкапсуляции в туннельном режиме.
Установка распространяется на все интерфейсы шлюза безопасности. C префиксом no команда устанавливает значение по умолчанию.
Команда доступна в режиме глобальной настройки конфигурации.
Синтаксис crypto ipsec df-bit {clear | set | copy} no crypto ipsec df-bit |
|
clear |
DF-бит внешнего IP-заголовка будет очищен и шлюз может фрагментировать пакет после IPsec инкапсуляции. |
set |
DF-бит внешнего IP-заголовка будет установлен, фрагментация пакета будет запрещена. |
copy |
DF-бит внешнего IP-заголовка устанавливается в то же значение, какое было у оригинального пакета. |
Значение по умолчанию |
по умолчанию установлено значение copy. |
Режимы команды |
Global configuration |
Рекомендации по использованию |
Используйте команду crypto ipsec df-bit в режиме глобальной настройки конфигурации вашего шлюза в части установки параметра DF-бит. При возникновении проблем с передачей больших пакетов (например, если по какой-то причине не удается заставить работать механизм Path MTU Discovery) можно установить параметр clear на шлюзе С-Терра Шлюз, если размер пакета после инкапсуляции превышает значение MTU интерфейса на пути следования IPsec пакета. |
Пример |
Ниже приведен пример как очистить поле DF bit в пакетах, проходящих через все интерфейсы: Router(config)#crypto ipsec df-bit clear |