华为防火墙支持配置 IPSec 先分片后加密的功能

先加密后分片应该不行,解密依赖完整性

原始报文经过IPSec封装后,报文长度有可能会超过设备出接口的最大传输单元MTU(Maximum Transmission Unit),当IPSec对端设备不支持分片重组时,就无法对报文解封装,这将导致报文被丢弃或被非法处理,从而影响了报文的正常传输。

此时可以开启IPSec先分片后加密功能。开启先分片后加密功能后,会对报文进行预计算,若计算出报文加封装后的大小将超出MTU值,则先对报文进行分片,然后再对每个分片加封装。这样报文到达IPSec对端后,不需要重组分片就可以解封装。解封装后的报文将会正常转发而不会被丢弃。

操作步骤 执行命令system-view,进入系统视图。

执行命令ipsec fragmentation before-encryption,配置IPSec隧道报文的分片方式为先分片后加密。

缺省情况下,IPSec隧道报文的分片方式为先加密后分片。

采用缺省分片方式时,如果IPSec报文的DF位不允许对IPSec报文进行分片,则还需在系统视图下执行命令ipsec df-bit { clear | set | copy },配置clear参数来允许对IPSec报文进行分片。

对于已建立的IPSec隧道,执行本命令后,需要重启已建立的IPSec隧道,否则该命令功能不生效。

相关推荐
做运维的阿瑞1 天前
Linux 企业级备份体系实战:cron/anacron/restic/rclone 对比与脚本总结
linux·运维·服务器·后端·学习·系统架构·centos
keep_di1 天前
06-django中配置接口文档coreapi
后端·python·django
麦当_1 天前
Cloudflare Workers 环境下的数据库死锁问题及解决方案
javascript·数据库·后端
郑洁文1 天前
上门代管宠物系统的设计与实现
java·spring boot·后端·毕业设计·毕设
码事漫谈1 天前
ReAct Agent:原理、应用与实战指南
后端
码事漫谈1 天前
推理与行动:构建智能系统的两大支柱
后端
郝学胜-神的一滴1 天前
QT与Spring Boot通信:实现HTTP请求的完整指南
开发语言·c++·spring boot·后端·qt·程序人生·http
码事漫谈1 天前
VS2022 C++调试完全指南
后端
码事漫谈1 天前
智能体(Agent)的记忆架构:深入解析短期记忆与长期记忆
后端
爱吃烤鸡翅的酸菜鱼1 天前
基于多设计模式的状态扭转设计:策略模式与责任链模式的实战应用
java·后端·设计模式·责任链模式·策略模式