IPSec の DF ビットを設定する

DF (Don’t Fragment) ビットは、パケットのヘッダー内のフラグです。コピー、設定、または クリア を選択すると、Firebox がパケットヘッダー内の元の DF ビット設定を使用するかどうかを制御できます。

Fireware Web UI における DF ビットの設定

Policy Manager における DF ビットの設定

コピー

元のフレームの DF ビット設定を IPSec 暗号化したパケットに適用するには、コピー を選択します。フレームに DF ビットが設定されていない場合は、Firebox は、パケットに必要な DF ビットとフラグメントを設定しません。フレームがフラグメント化されるように設定していない場合は、Firebox がフレーム全体をカプセル化し、暗号化されたパケットの DF ビットを元のフレームと一致するように設定します。

レポートのオプション

元のビットの設定に関係なく、Firebox がフレームをフラグメント化しないようにする場合は、設定 を選択します。ユーザーが、他の Firebox を経由して Firebox に IPSec 接続する必要がある場合には、このチェックボックスの選択を解除して、IPSec パススルー機能を有効にする必要があります。たとえば、携帯端末を持つ従業員が、Firebox を使用している取引先から IPSec を使用して自社のネットワークに IPSec 接続することができます。また、ローカルの Firebox によって送信 IPSec 接続が適切に許可されるようにするには、IPSec ポリシーを追加する必要があります。

クリア

元のビット設定に関係なく、ESP ヘッダーや AH ヘッダーを持つ IPSec パケットに収まるようなフレーム分割をするには、クリア を選択します。

Fireware v12.2.1 以降では、BOVPN および BOVPN 仮想インターフェイス構成のゲートウェイ endpoint設定で DF ビットオプションを指定できます。ゲートウェイ endpoint で指定された DF ビット設定は、外部インターフェイスで指定した DF ビット設定をオーバーライドします。

ゲートウェイ endpoint の DF ビット設定の詳細については、BOVPN Gateway のゲートウェイ Endpoint を定義する および BOVPN 仮想インターフェイスのゲートウェイ Endpoint を定義する を参照してください。