Leaflet
9-76
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ipsec df-bit
crypto ipsec df-bit
要配置 IPsec 数据包的 DF 位策略,请在全局配置模式下使用 crypto ipsec df-bit 命令。
crypto ipsec df-bit [clear-df | copy-df | set-df] interface
语法说明
默认值 此命令默认禁用。如果启用此命令但没有指定的设置,则 ASA 将 copy-df 设置用作默认设置。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 具有 IPsec 隧道功能的 DF 位允许您指定 ASA 是否可从封装的报头中清除、设置或复制不分段
(DF) 位。IP 报头中的 DF 位确定是否允许设备对数据包分段。
在全局配置模式下使用 crypto ipsec df-bit 命令配置 ASA 以指定封装报头中的 DF 位。此命令在
应用加密时处理明文数据包的 DF 位设置并且清除、设置或将其复制到外部 IPsec 报头。
在封装隧道模式 IPsec 流量时,对 DF 位使用 clear-df 设置。此设置可让设备发送大于可用 MTU
大小的数据包。此外,如果您不知道可用 MTU 大小,此设置适用。
注意事项 如果您设置了以下冲突配置,数据包将被丢弃:
crypto ipsec fragmentation after-encryption(将数据包分段)
crypto ipsec df-bit set-df outside (设置 DF 位)
示例 以下示例在全局配置模式下输入,将 IPsec DF 策略设置为 clear-df:
ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
clear-df
(可选)指定外部 IP 报头将清除 DF 位,并且 ASA 可能将数据包分段以
添加 IPsec 封装。
copy-df
(可选)指定 ASA 在原始数据包中查找外部 DF 位设置。
set-df
(可选)指定外部 IP 报头将设置 DF 位;但如果原始数据包已清除 DF
位,ASA 可能将数据包分段。
interface
指定接口名称。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。
9.0(1)
增加了多情景模式支持。