IPsec VPN の Pre-fragmentation

IPsec VPN の Pre-fragmentation 機能で、最大伝送ユニット(MTU)サイズに近いパケットに対し、暗号化スループットが暗号化ハードウェア アクセラレータの速度で提供されることにより、Cisco IOS XE ルータと VPN クライアントとの間のパフォーマンスが向上します。同じサイズの単位にパケットが分割され、以降の処理ではフラグメンテーションが不要になります。

IPsec VPN の Pre-fragmentation の制約事項

この機能の設定前に次の情報を考慮してください。

  • IPsec VPN の Pre-fragmentation は IPsec トンネル モードおよび GRE を使用する IPsec トンネル モードで動作し、IPsec トランスポート モードでは動作しません。

  • トラフィックが単一方向のネットワーク上で復号ルータに IPsec VPN の Pre-fragmentation を設定しても、パフォーマンスは向上せず、それぞれのピアの動作は変わりません。

  • 発信パケットの圧縮がオンになっている場合は、IPsec VPN の Pre-fragmentation は変換前に実行されます。

  • IPsec VPN の Pre-fragmentation は、出力インターフェイス crypto ipsec df-bit の設定と着信パケットの「do not fragment」(DF)ビットの状態によって機能が異なります。次の表を参照してください。

Table 1. IPsec VPN の Pre-fragmentation の依存関係

IPsec VPN の Pre-fragmentation 機能の状態(イネーブル/ディセーブル)

出力インターフェイス「crypto ipsec df-bit」の設定

着信パケット DF ビットの状態

結果

イネーブル

crypto ipsec df-bit クリア

0

暗号化前にフラグメンテーションが実行されます。

イネーブル

crypto ipsec df-bit クリア

1

暗号化前にフラグメンテーションが実行されます。

ディセーブル

crypto ipsec df-bit クリア

0

暗号化後にフラグメンテーションが実行され、復号前にパケットが再編成されます。

ディセーブル

crypto ipsec df-bit クリア

1

暗号化後にフラグメンテーションが実行され、復号前にパケットが再編成されます。

イネーブル

crypto ipsec df-bit セット

0

暗号化前にフラグメンテーションが実行されます。

イネーブル

crypto ipsec df-bit セット

1

パケットがドロップされます。

ディセーブル

crypto ipsec df-bit セット

0

暗号化後にフラグメンテーションが実行され、復号前にパケットが再編成されます。

ディセーブル

crypto ipsec df-bit セット

1

パケットがドロップされます。

イネーブル

crypto ipsec df-bit コピー

0

暗号化前にフラグメンテーションが実行されます。

イネーブル

crypto ipsec df-bit コピー

1

パケットがドロップされます。

ディセーブル

crypto ipsec df-bit コピー

0

暗号化の後にフラグメンテーションが発生し、復号化の前にパケットがリアセンブルされます。

ディセーブル

crypto ipsec df-bit コピー

1

パケットがドロップされます。

IPsec VPN の Pre-fragmentation に関する情報

IPsec VPN の Pre-fragmentation

パケットのサイズが暗号化ルータのアウトバウンド リンクの MTU のサイズに近く、IPsec ヘッダー付きでカプセル化されている場合は、アウトバウンド リンクの MTU を超えることがあります。これにより、暗号化後にパケット フラグメンテーションが発生します。よって復号化ルータでは、その復号化ルータのパフォーマンスを低下させているプロセス パスの当該パケットがリアセンブルされる必要があります。

IPsec VPN の Pre-fragmentation 機能により、プロセス パスではなく高パフォーマンスの CEF パスで復号化ルータが動作可能になるため、その復号化ルータのパフォーマンスが向上します。復号化ルータでは、トランスフォーム セット(IPsec セキュリティ アソシエーション(SA)の一部として設定)の利用可能な情報を基に、カプセル化されているパケットのサイズを事前に確認できます。パケットのサイズが出力インターフェイスの MTU を超えることが前もって確認されると、パケットは暗号化前にフラグメント化(分割)されます。この機能を使用すると、復号化前にプロセス レベルでパケットをリアセンブルすることがなくなるため、復号化のパフォーマンスと IPsec トラフィックの全体的なスループットが向上します。


Note

トンネル インターフェイスの Pre-fragmentation 機能はデフォルトでオフになっています。Pre-fragmentation によってパフォーマンスを向上させるには、トンネル インターフェイスの両端に同じ MTU があるようにしてから、Pre-fragmentation をオンにします。

暗号マップは、暗号化の前後に発生するフラグメンテーションの動作を定義するためには使用されなくなっています。現在、IPsec 仮想トンネル インターフェイス(仮想テンプレート インターフェイスともいう)(VTI)のフラグメンテーションの動作は、VTI で設定されている IP MTU の設定によって決定されます。

VTI の詳細については、IPsec 仮想トンネル インターフェイス機能のドキュメントを参照してください。


Note

フラグメンテーションを暗号化後に動作させる場合、VTI の IP MTU は、出力ルータ インターフェイスの IP MTU よりも大きい値に設定します。IP MTU の値を表示するには、show ip interface tunnel コマンドを使用します。

IPsec VPN の Pre-fragmentation の設定方法

IPsec VPN の Pre-fragmentation の設定

このタスクを実行して、IPsec VPN の Pre-Fragmentation を設定します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. interface type number
  4. ip mtu bytes

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

interface type number

Example:


Router(config-if)# interface tunnel0

VTI が設定されるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

Step 4

ip mtu bytes

Example:


Router(config-if)# ip mtu 1500

Example:

IPsec VPN の出力インターフェイスにおける IP パケットの VTI MTU サイズをバイト単位で設定します。

Note

 

フラグメンテーションを暗号化後に動作させる場合、VTI の IP MTU は、出力ルータ インターフェイスの IP MTU よりも大きい値に設定します。IP MTU の値を表示するには、show ip interface tunnel コマンドを使用します。

その他の参考資料

関連資料

関連項目

マニュアル タイトル

セキュリティ コマンド

『Cisco IOS Security Command Reference』

IPSec

IPsec 仮想トンネル インターフェイス機能のドキュメント

MIB

MIB

MIB のリンク

なし

選択したプラットフォーム、Cisco ソフトウェア リリース、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

IPsec VPN の Pre-fragmentation の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 2. IPsec VPN の Pre-fragmentation の機能情報

機能名

リリース

機能情報

IPsec VPN の Pre-fragmentation

Cisco IOS XE 2.1

この機能で、最大伝送ユニット(MTU)サイズに近いパケットに対し、暗号化スループットが暗号化ハードウェア アクセラレータの速度で提供されることにより、Cisco IOS XE ルータと VPN クライアントとの間のパフォーマンスが向上します。同じサイズの単位にパケットが分割され、以降の処理ではフラグメンテーションが不要になります。

次のコマンドが導入または変更されました。ip mtu (interface configuration) .