先加密后分片应该不行,解密依赖完整性
原始报文经过IPSec封装后,报文长度有可能会超过设备出接口的最大传输单元MTU(Maximum Transmission Unit),当IPSec对端设备不支持分片重组时,就无法对报文解封装,这将导致报文被丢弃或被非法处理,从而影响了报文的正常传输。
此时可以开启IPSec先分片后加密功能。开启先分片后加密功能后,会对报文进行预计算,若计算出报文加封装后的大小将超出MTU值,则先对报文进行分片,然后再对每个分片加封装。这样报文到达IPSec对端后,不需要重组分片就可以解封装。解封装后的报文将会正常转发而不会被丢弃。
操作步骤 执行命令system-view,进入系统视图。
执行命令ipsec fragmentation before-encryption,配置IPSec隧道报文的分片方式为先分片后加密。
缺省情况下,IPSec隧道报文的分片方式为先加密后分片。
采用缺省分片方式时,如果IPSec报文的DF位不允许对IPSec报文进行分片,则还需在系统视图下执行命令ipsec df-bit { clear | set | copy },配置clear参数来允许对IPSec报文进行分片。
对于已建立的IPSec隧道,执行本命令后,需要重启已建立的IPSec隧道,否则该命令功能不生效。