Синтаксис

crypto ipsec df-bit {clear | set | copy}

no crypto ipsec df-bit

clear

DF-бит внешнего IP-заголовка будет очищен и пакет может быть фрагментирован после IPsec инкапсуляции.

set

DF-бит внешнего IP-заголовка будет установлен, фрагментация пакета запрещена.

copy

DF-бит внешнего IP-заголовка устанавливается в то же значение, какое было у оригинального пакета.

Значение по

умолчанию

значение DF-бита, установленное в глобальном конфигурационном режиме.

Режимы команды

Interface configuration

Рекомендации по

использованию

Используйте команду crypto ipsec df-bit в режиме настройки интерфейса для установки бита DF в пакетах, проходящих через данный интерфейс.

Эта команда аннулирует установки DF-бита для данного интерфейса, выполненные в глобальном конфигурационном режиме.

При возникновении проблем с передачей больших пакетов (например, если по какой-то причине не удается заставить работать механизм Path MTU Discovery) можно установить параметр clear на интерфейсе шлюза С-Терра Шлюз, если размер пакета после инкапсуляции превышает значение MTU маршрутизаторов на пути следования IPsec пакета.

Команда no crypto ipsec df-bit отменяет установленное значение DF-бита для интерфейса и начинает действовать значение DF-бита, установленное по умолчанию (в глобальном конфигурационном режиме значение DF-бита устанавливается командой crypto ipsec df-bit).

Пример

Ниже приведен пример как установить DF-бит в заголовке пакетов, проходящих через конкретный интерфейс:

Router(config-if)#crypto ipsec df-bit set