Leaflet
9-78
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ipsec fragmentation
crypto ipsec fragmentation
要配置 IPsec 数据包的分段策略,请在全局配置模式下使用 crypto ipsec fragmentation 命令。
crypto ipsec fragmentation {after-encryption | before-encryption} interface
语法说明
默认值 默认情况下启用预加密。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 当数据包接近加密 ASA 的出站链路的 MTU 大小时,它采用 IPsec 报头进行封装,这时很可能超过
出站链路的 MTU。这会导致在加密后进行数据包分段,从而使解密设备在处理路径中重新组合。
通过让 IPsec VPN 预分段在高性能 CEF 路径而不是处理路径中运行,可增强解密时的设备性能。
IPsec VPN 的预分段可让加密设备预先确定来自转换集中可用信息的封装数据包大小,这些转换
集作为 IPsec SA 的一部分而配置。如果设备预先确定数据包将超出输出接口的 MTU,则设备在
加密之前对数据包进行分段。这可在解密之前避免进程级别重组,并帮助提高解密性能和整体
IPsec 流量吞吐量。
启用 IPv6 的接口上允许的最小 MTU 为 1280 字节;但是,如果在接口上启用了 IPsec,则由于
IPsec 加密的成本,MTU 值应设置为不低于 1380。将接口设置为低于 1380 字节可能会导致丢包。
注意事项 如果您设置了以下冲突配置,数据包将被丢弃:
crypto ipsec fragmentation after-encryption(将数据包分段)
crypto ipsec df-bit set-df outside (设置 DF 位)
示例 以下示例在全局配置模式中输入,在设备上全局启用 IPsec 数据包的预分段:
ciscoasa(config)# crypto ipsec fragmentation before-encryption inside
ciscoasa(config)#
after-encryption
指定 ASA 将加密后接近最大 MTU 大小的 IPsec 数据包分段(禁用预分段)。
before-encryption
指定 ASA 将加密前接近最大 MTU 大小的 IPsec 数据包分段(启用预分段)。
interface
指定接口名称。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。
9.0(1)
增加了多情景模式支持。