Cisco IOS セキュリティ コンフィギュレーション ガ イド:Secure Connectivity
IPsec トンネルを使用する DF ビット オー バーライド機能
IPsec トンネルを使用する DF ビット オーバーライド機能
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

IPsec トンネルを使用する DF ビット オーバーライド機能

機能の概要

利点

制約事項

関連資料

サポートされているプラットフォーム

サポートされている規格、MIB、および RFC

前提条件

設定作業

トンネル モードでのカプセル化ヘッダーへの DF ビットの設定

DF ビット設定の確認

設定例

DF ビットの設定例

コマンド リファレンス

IPsec トンネルを使用する DF ビット オーバーライド機能

機能の履歴

リリース
変更点

Cisco IOS

Cisco IOS ソフトウェアの機能サポートに関する情報については、Cisco Feature Navigator を使用してください。

この章では、IPsec トンネル機能による DF ビット オーバライド機能について説明します。この章の内容は、次のとおりです。

「機能の概要」

「サポートされているプラットフォーム」

「サポートされている規格、MIB、および RFC」

「前提条件」

「設定作業」

「設定例」

「コマンド リファレンス」

機能の概要

IPsec トンネル機能による DF ビット オーバライド機能により、ルータがカプセル化ヘッダーから Don't Fragment (DF)ビットを消去、設定、またはコピーするかどうかを指定できます。DF ビットは IP ヘッダー内のビットで、このビットは、ルータがパケットを断片化することを許可されているかどうか判別します。

一部のユーザ設定のホストでは、次の機能を実行します。

送信されたパケットに DF ビットを設定する。

ファイアウォールを使用して、ファイアウォールの外部からくる Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)エラーをブロックし、ホストがファイアウォールの外部から最大伝送単位(MTU)サイズを認識できないようにする。

IP セキュリティ(IPsec)を使用してパケットをカプセル化し、MTU サイズを縮小する。

使用可能な MTU サイズを認識できないようにホストが設定されている場合、DF ビットを消去し、パケットを断片化するようにルータを設定できます。


) この機能は、RFC 2401 に準拠して、グローバルに、またはインターフェイスごとに設定できます。両方のレベルを設定すると、インターフェイス コンフィギュレーションにより、グローバル コンフィギュレーションが上書きされます。


利点

IPsec トンネル機能による DF ビット オーバライド機能では、トンネル モード IPsec トラフィックを、グローバル レベルまたは各インターフェイス レベルでカプセル化する際に、DF ビットを設定できます。したがって、ルータが DF ビットを消去するように設定されている場合、ルータは、元の DF のパケット設定に関係なく、パケットを断片化できます。

制約事項

パフォーマンス上の影響

各パケットがプロセス レベルで再アセンブルされるため、高いデータ レートでパフォーマンスに大きな影響が生じます。主な警告事項には、次の 2 つがあります。

再アセンブル キューが満杯になると、フラグメントが強制的に廃棄されることがあります。

プロセス スイッチングにより、トラフィックの速度は低下します。

DF ビットの設定要件

複数のインターフェイスがローカル アドレス機能を使用して同じ暗号マップを共有する場合、これらのインターフェイスは同じ DF ビット設定を共有する必要があります。

機能のアベイラビリティ

この機能は IPsec トンネル モードだけで使用できます (IPsec トランスポート モードは、カプセル化 IP ヘッダーを提供しないので、影響を受けません)。

関連資料

次のマニュアルには、IPsec トンネル機能による DF ビット オーバライド機能の関連情報が記載されています。

『Cisco IOS Security Command Reference』

サポートされているプラットフォーム

この機能は、次のプラットフォームでサポートされます。

Cisco 800

Cisco 827

Cisco 1600

Cisco 1600R

Cisco 1700

Cisco 2600

Cisco 3620

Cisco 3640

Cisco 3660

Cisco 4000

Cisco 4500

Cisco 5200

Cisco 5300

Cisco 5400

Cisco 6400

Cisco 7100

Cisco 7200

Cisco 7500

Cisco uBR7200

Cisco uBR900

Cisco uBR905

Cisco uBR910

この機能は、IPsec をサポートするすべてのプラットフォームで動作します。

サポートされている規格、MIB、および RFC

規格

この機能によってサポートされる新しい規格や変更された規格はありません。

MIB

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC 2401 、『 Security Architecture for the Internet Protocol

前提条件

ルータで IPsec がイネーブルに設定されている必要があります。

設定作業

IPsec トンネル機能による DF ビット オーバーライド機能の設定作業については、次の項を参照してください。

「トンネル モードでのカプセル化ヘッダーへの DF ビットの設定」

トンネル モードでのカプセル化ヘッダーへの DF ビットの設定

トンネル モードで DF ビットをカプセル化ヘッダーに設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

Router(config)# crypto ipsec df-bit [clear | set | copy]

すべてのインターフェイスのトンネル モードで DF ビットをカプセル化ヘッダーに設定します。

指定されたインターフェイスに DF ビットを設定するには、インターフェイス コンフィギュレーション モードで crypto ipsec df-bit コマンドを使用します。

(注) DF ビット インターフェイス コンフィギュレーション設定によって、すべての DF ビット グローバル コンフィギュレーション設定が上書きされます。

DF ビット設定の確認

ルータ上の現在の DF ビット設定を確認するには、EXEC モードで show running-config コマンドを使用します。

設定例

ここでは、次の設定例について説明します。

「DF ビットの設定例」

DF ビットの設定例

次の例では、DF ビットの設定をグローバルに消去し、DF ビットを Ethernet0 というインターフェイスにコピーするようにルータが設定されています。したがって、Ethernet0 以外のすべてのインターフェイスでは、ルータは使用可能な MTU サイズより大きいパケットを送信でき、Ethernet0 では、ルータはパケットを断片化できます。

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key Delaware address 192.168.10.66
crypto isakmp key Key-What-Key address 192.168.11.19
!
!
crypto ipsec transform-set BearMama ah-md5-hmac esp-des
 
crypto ipsec df-bit clear
!
!
crypto map armadillo 1 ipsec-isakmp
set peer 192.168.10.66
set transform-set BearMama
match address 101
!
crypto map basilisk 1 ipsec-isakmp
set peer 192.168.11.19
set transform-set BearMama
match address 102
 
!
!
interface Ethernet0
ip address 192.168.10.38 255.255.255.0
ip broadcast-address 0.0.0.0
media-type 10BaseT
crypto map armadillo
crypto ipsec df-bit copy
!
interface Ethernet1
ip address 192.168.11.75 255.255.255.0
ip broadcast-address 0.0.0.0
media-type 10BaseT
crypto map basilisk
!
interface Serial0
no ip address
ip broadcast-address 0.0.0.0
no ip route-cache
no ip mroute-cache

コマンド リファレンス

この機能に関連して、次の新しいコマンドが追加されています。これらのコマンドおよびこの機能に使用されているその他のコマンドのコマンド ページを参照するには、『 Cisco IOS Master Commands List 』( http://www.cisco.com/en/US/products/ps6441/products_product_indices_list.html )にアクセスしてください。

crypto ipsec df-bit(グローバル コンフィギュレーション)

crypto ipsec df-bit(インターフェイス コンフィギュレーション)

これらのコマンドの詳細については、『Cisco IOS Security Command Reference』 ( http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html )を参照してください。

Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool ( http://tools.cisco.com/Support/CLILookup )にアクセスするか、または『Master Command List』を参照してください。