IPsec トンネルを使用する DF ビット オーバーライド機能

IPsec トンネル機能による DF ビット オーバライド機能では、トンネル モード IPsec トラフィックを、グローバル レベルまたは各インターフェイス レベルでカプセル化する際に、DF ビットを設定できます。したがって、ルータが DF ビットを消去するように設定されている場合、ルータは、元の DF のパケット設定に関係なく、パケットを断片化できます。

IPsec トンネルを使用する DF ビット オーバーライド機能の前提条件

ルータで IPsec がイネーブルに設定されている必要があります。

IPsec トンネルを使用する DF ビット オーバーライド機能の制約事項

パフォーマンス上の影響

各パケットがプロセス レベルで再アセンブルされるため、高いデータ レートでパフォーマンスに大きな影響が生じます。主な警告事項には、次の 2 つがあります。

  • 再アセンブル キューが満杯になると、フラグメントが強制的に廃棄されることがあります。

  • プロセス スイッチングにより、トラフィックの速度は低下します。

DF ビットの設定要件

複数のインターフェイスがローカル アドレス機能を使用して同じクリプト マップを共有する場合、これらのインターフェイスは同じ DF ビット設定を共有する必要があります。

機能のアベイラビリティ

この機能は IPsec トンネル モードだけで使用できます(IPsec トランスポート モードは、カプセル化 IP ヘッダーを提供しないので、影響を受けません)。

IPsec トンネルを使用する DF ビット オーバーライド機能に関する情報

機能の概要

IPsec トンネル機能による DF ビット オーバライド機能により、ルータがカプセル化ヘッダーの Don't Fragment(DF)ビットをクリア、設定、またはコピーするかどうかを指定できます。DF ビットは IP ヘッダー内のビットで、このビットは、ルータがパケットを断片化することを許可されているかどうか判別します。

一部のユーザ設定のホストでは、次の機能を実行します。

  • 送信されたパケットに DF ビットを設定する。

  • ファイアウォールを使用して、ファイアウォールの外部からくるインターネット制御メッセージ プロトコル(ICMP)エラーをブロックし、ホストがファイアウォールの外部から最大伝送単位(MTU)サイズを認識できないようにする。

  • IP セキュリティ(IPsec)を使用してパケットをカプセル化し、MTU サイズを縮小する。

使用可能な MTU サイズを認識できないようにホストが設定されている場合、DF ビットをクリアし、パケットを断片化するよう、ルータを設定できます。


Note

この機能は、RFC 2401 に準拠して、グローバルに、またはインターフェイスごとに設定できます。両方のレベルを設定すると、インターフェイス コンフィギュレーションにより、グローバル コンフィギュレーションが上書きされます。

IPsec トンネルを使用する DF ビット オーバーライド機能の設定方法

トンネル モードでのカプセル化ヘッダーへの DF ビットの設定

トンネル モードで DF ビットをカプセル化ヘッダーに設定するには、次の手順を実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. crypto ipsec df-bit [clear | set | copy ]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

crypto ipsec df-bit [clear | set | copy ]

Example:


Router (config)# crypto ipsec df-bit set

すべてのインターフェイスのトンネル モードで DF ビットをカプセル化ヘッダーに設定します。

指定されたインターフェイスに DF ビットを設定するには、インターフェイス コンフィギュレーション モードで crypto ipsec df-bit コマンドを使用します。

Note

 

DF ビット インターフェイス コンフィギュレーション設定によって、すべての DF ビット グローバル コンフィギュレーション設定が上書きされます。

DF ビット設定の確認

ルータ上の現在の DF ビット設定を確認するには、 show running-config コマンドを EXEC モードで使用します。

IPsec トンネルを使用する DF ビット オーバーライド機能の設定例

DF ビットの設定例

次の例では、DF ビットの設定をグローバルに消去し、DF ビットを FastEthernet というインターフェイスにコピーするようにルータが設定されています。したがって、FastEthernet 以外のすべてのインターフェイスでは、ルータは使用可能な MTU サイズより大きいパケットを送信でき、FastEthernet では、ルータはパケットをフラグメント化できます。 


crypto isakmp policy 1
   hash md5
   authentication pre-share
crypto isakmp key Delaware address 192.168.10.66
crypto isakmp key Key-What-Key address 192.168.11.19
!
!
crypto ipsec transform-set exampleset ah-md5-hmac esp-des
crypto ipsec df-bit clear
!
!
crypto map armadillo 1 ipsec-isakmp
set peer 192.168.10.66
set transform-set exampleset
match address 101
!
crypto map basilisk 1 ipsec-isakmp
set peer 192.168.11.19
set transform-set exampleset
match address 102
!
!
interface FastEthernet
   ip address 192.168.10.38 255.255.255.0
   ip broadcast-address 0.0.0.0
   media-type 10BaseT
   crypto map armadillo
   crypto ipsec df-bit copy
!
interface FastEthernet1
   ip address 192.168.11.75 255.255.255.0
   ip broadcast-address 0.0.0.0
   media-type 10BaseT
   crypto map basilisk
!
interface Serial0
   no ip address
   ip broadcast-address 0.0.0.0
   no ip route-cache
   no ip mroute-cache

その他の参考資料

次のセクションには、IPsec トンネル機能による DF ビット オーバライド機能の関連資料が記載されています。

関連資料

関連項目

マニュアル タイトル

インターネット キー エクスチェンジ ネットワークと IPsec ネットワーク

「Configuring Internet Key Exchange for IPsec VPNs」

IPSec ネットワークのコマンド

『Cisco IOS セキュリティ コマンド リファレンス』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能がサポートする新しい MIB または変更された MIB はありません。また、この機能で変更された既存規格のサポートはありません。

選択したプラットフォーム、Cisco IOS XE リリース、およびフィーチャ セットの MIB を検索してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能がサポートする新しい RFC または変更された RFC はありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

IPsec トンネルを使用する DF ビット オーバーライド機能の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. IPsec トンネルを使用する DF ビット オーバーライド機能の機能情報

機能名

リリース

機能情報

IPsec トンネルを使用する DF ビット オーバーライド機能

Cisco IOS XE Release 2.1

この機能により、ルータがカプセル化ヘッダーから Don't Fragment(DF)ビットを消去、設定、またはコピーするかどうかを指定できます。DF ビットは IP ヘッダー内のビットで、このビットは、ルータがパケットを断片化することを許可されているかどうか判別します。

次のコマンドが導入または変更されました。crypto ipsec df-bit