bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces: Unterschied zwischen den Versionen
Aus bintec elmeg Support-Wiki / FAQ
| Zeile 11: | Zeile 11: | ||
===Vorgehensweise:=== | ===Vorgehensweise:=== | ||
| − | Der MTU-Wert von IPSec-Interfaces läßt sich ( | + | Der MTU-Wert von IPSec-Interfaces läßt sich (für IPv4) in der ikeprofiletable mit der Variable "MtuMax" beeinflussen. <br /> |
Die HTML-MIB-Reference sagt zu dieser Variablen: | Die HTML-MIB-Reference sagt zu dieser Variablen: | ||
| Zeile 20: | Zeile 20: | ||
| − | Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax" <br /> | + | Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax" auf den Beispielwert 1250 Byte <br /> |
| − | + | im Phase-1-Profil mit der Datensatznummer 0, hier bezeichnet als "Multi-Proposal": | |
<PRE> | <PRE> | ||
rs353jw_ks:> ikeprofiletable | rs353jw_ks:> ikeprofiletable | ||
Version vom 31. März 2017, 09:36 Uhr
Titel bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces
Vorbemerkungen:
- Im Gegensatz zu Ethernet-Interfaces läßt sich der standardmäßig verwendete MTU-Wert für IPSec-Interfaces auf einen anderen (üblicherweise kleineren) Wert umstellen.
- Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 patch 1 verwendet, die Konfiguration erfolgt mittels Konsole und GUI.
- Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Vorgehensweise:
Der MTU-Wert von IPSec-Interfaces läßt sich (für IPv4) in der ikeprofiletable mit der Variable "MtuMax" beeinflussen.
Die HTML-MIB-Reference sagt zu dieser Variablen:
"MtuMax
The maximum MTU value allowed for ipsecPeerStatMtu. This variable affects only peers with ipsecPeerStatIpVersion 'ipv4'.
Zero means use value from global profile, if this is the global profile, 1418 is assumed. Nonzero values smaller than 214
are reset to the minimum of 214. Range: 0 to 65535"
Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax" auf den Beispielwert 1250 Byte
im Phase-1-Profil mit der Datensatznummer 0, hier bezeichnet als "Multi-Proposal":
rs353jw_ks:> ikeprofiletable
inx Index(ro) Description(rw) AuthMethod(-rw)
Mode(rw) Proposal(*rw) Group(rw)
Cert(rw) LocalId(rw) CaCerts(rw)
LifeTime(ro) PfsIdentity(rw) Heartbeats(rw)
BlockTime(rw) NatT(rw) MtuMax(rw)
LifeSeconds(rw) LifeKBytes(rw) LifePolicy(rw)
Ip6MtuMax(rw)
0 1 "Multi-Proposal" pre_sh_key
aggressive 7 5
0 "rs353jw_ks"
-1 default auto
30 enabled 0
14400 0 loose
0
rs353jw_ks:ikeProfileTable> MtuMax:0=1250
0: ikePrfMtuMax.7( rw): 1250
rs353jw_ks:ikeProfileTable>
Alle IPSec-Verbindungen mit diesem Phase-1-Profil sollten von nun an beim Neuaufbau diesen neuen MTU-Wert verwenden können.
Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI, in der Hauptmenüspalte unter IPSec, ikeProfileTable, edit (Ausschnitt):
Bild 1: GUI-SNMP-Browser, ikeProfileTable, Eingabebeispiel für ikePrfMtuMax = 1250 (danach den abschließenden Klick auf "OK" nicht vergessen!)
Abschlußbemerkung:
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save")
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis:
Erstellt: 30.03.2017
Produkt: RS353jw
Release: 10.1.21.101
KW: 06/2017
kst