华为防火墙支持配置 IPSec 先分片后加密的功能

先加密后分片应该不行,解密依赖完整性

原始报文经过IPSec封装后,报文长度有可能会超过设备出接口的最大传输单元MTU(Maximum Transmission Unit),当IPSec对端设备不支持分片重组时,就无法对报文解封装,这将导致报文被丢弃或被非法处理,从而影响了报文的正常传输。

此时可以开启IPSec先分片后加密功能。开启先分片后加密功能后,会对报文进行预计算,若计算出报文加封装后的大小将超出MTU值,则先对报文进行分片,然后再对每个分片加封装。这样报文到达IPSec对端后,不需要重组分片就可以解封装。解封装后的报文将会正常转发而不会被丢弃。

操作步骤 执行命令system-view,进入系统视图。

执行命令ipsec fragmentation before-encryption,配置IPSec隧道报文的分片方式为先分片后加密。

缺省情况下,IPSec隧道报文的分片方式为先加密后分片。

采用缺省分片方式时,如果IPSec报文的DF位不允许对IPSec报文进行分片,则还需在系统视图下执行命令ipsec df-bit { clear | set | copy },配置clear参数来允许对IPSec报文进行分片。

对于已建立的IPSec隧道,执行本命令后,需要重启已建立的IPSec隧道,否则该命令功能不生效。

相关推荐
小蒜学长3 小时前
大学园区二手书交易平台(代码+数据库+LW)
java·数据库·spring boot·后端
saberc83 小时前
【vibe coding系列】0行代码编写,使用Go+Vue3+Flutter从0到1开发小绿书(一)
后端·go
Smilejudy3 小时前
SQL 移植--SPL 轻量级多源混算实践 7
后端
yinke小琪3 小时前
分库分表后,主键 ID 如何优雅生成?
java·后端·面试
wuxuanok4 小时前
Spring Boot 全局异常处理问题分析与解决方案
java·spring boot·后端
bobz9654 小时前
spine leaf 组网架构:leaf 和 spine 之间的链路 mtu 普遍都是 9000
后端
bobz9654 小时前
arp 广播带 vlan id 么?
后端
optimistic_chen4 小时前
【Java EE进阶 --- SpringBoot】Spring IoC
spring boot·后端·spring·java-ee·mvc·loc
bobz9654 小时前
ipsec mtu 问题
后端