Définir le Bit DF pour IPSec
Le bit Don't Fragment (DF) est un indicateur situé dans l'en-tête d'un paquet. Vous pouvez sélectionner Copier, Définir ou Effacer de manière à contrôler si le Firebox utilise le paramètre bit DF d'origine de l'en-tête du paquet.
Le paramètre Bit DF dans Policy Manager
Copier
Sélectionnez Copier pour appliquer le paramètre de bit DF de la structure d'origine du paquet chiffré IPSec. Si une trame ne possède pas de bit DF défini, le Firebox ne définit pas les bits DF et fragmente le paquet si nécessaire. Si une trame est configurée de manière à ne pas être fragmentée, le Firebox encapsule entièrement la trame et définit les bits DF du paquet chiffré de manière identique à ceux de la trame d'origine.
Définir
Sélectionnez Définir si vous ne souhaitez pas que le Firebox fragmente la structure, quel que soit le paramètre de bit d'origine. Si un utilisateur doit établir des connexions IPSec à un Firebox derrière un autre Firebox, vous devez décocher cette case pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d'un Firebox peuvent se connecter à leur réseau à l'aide d'IPSec. Pour que votre Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec.
Effacer
Sélectionnez Effacer pour diviser la structure en éléments pouvant tenir dans un paquet IPSec avec en-tête ESP ou AH, quel que soit le paramètre de bit d'origine.
Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez spécifier une option Bit DF dans les paramètres d'endpoints de passerelle dans les configurations de tunnel ou d'interface virtuelle BOVPN. Le paramètre Bit DF spécifié pour un enpoint de passerelle remplace le paramètre Bit DF spécifié de l'interface externe.
Pour de plus amples informations concernant le paramètre Bit DF des endpoints de passerelle, consultez Définir des endpoints de passerelle pour une passerelle BOVPN et Définir des Endpoints de Passerelle pour une Interface Virtuelle BOVPN.