bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces

Aus bintec elmeg Support-Wiki / FAQ

Wechseln zu: Navigation, Suche

bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces

Vorbemerkungen:

  • MTU = Maximum Transmission Unit
  • Im Gegensatz zu Ethernet-Interfaces läßt sich der standardmäßig verwendete MTU-Wert für IPSec-Interfaces auf einen anderen (üblicherweise kleineren) Wert umstellen.
  • Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 patch 1 verwendet, die Konfiguration erfolgt mittels Konsole und GUI.
  • Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Vorgehensweise:

Der MTU-Wert (Maximum Transmission Unit) von IPSec-Interfaces läßt sich (für IPv4) in der SNMP-Tabelle "ikeProfileTable" mit der Variablen "MtuMax" beeinflussen.

Die HTML-MIB-Reference sagt zu dieser Variablen: "MtuMax: The maximum MTU value allowed for ipsecPeerStatMtu. This variable affects only peers with ipsecPeerStatIpVersion 'ipv4'.
Zero means use value from global profile, if this is the global profile, 1418 is assumed. Nonzero values smaller than 214 are reset to the minimum of 214. Range: 0 to 65535"

Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax" auf den Beispielwert 1250 Byte
im Phase-1-Profil mit der Datensatznummer 0, hier bezeichnet als "Multi-Proposal":

rs353jw_ks:> ikeProfileTable

inx Index(ro)                Description(rw)          AuthMethod(-rw)
    Mode(rw)                 Proposal(*rw)            Group(rw)
    Cert(rw)                 LocalId(rw)              CaCerts(rw)
    LifeTime(ro)             PfsIdentity(rw)          Heartbeats(rw)
    BlockTime(rw)            NatT(rw)                 MtuMax(rw)
    LifeSeconds(rw)          LifeKBytes(rw)           LifePolicy(rw)
    Ip6MtuMax(rw)

  0 1                        "Multi-Proposal"         pre_sh_key
    aggressive               7                        5
    0                        "rs353jw_ks"
    -1                       default                  auto
    30                       enabled                  0
    14400                    0                        loose
    0

rs353jw_ks:ikeProfileTable> MtuMax:0=1250
  0: ikePrfMtuMax.7( rw):        1250
rs353jw_ks:ikeProfileTable>

Alle IPSec-Verbindungen mit diesem Phase-1-Profil sollten von nun an beim Neuaufbau diesen neuen MTU-Wert verwenden können.


Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI, in der Hauptmenüspalte unter IPSec, ikeProfileTable, edit (Ausschnitt):

IPSec Interface MTU manuell setzen01.png

Bild 1: GUI-SNMP-Browser, ikeProfileTable, Eingabebeispiel für ikePrfMtuMax = 1250 (danach den abschließenden Klick auf "OK" nicht vergessen!)

Abschlußbemerkung:

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save")
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis:

Erstellt: 30.03.2017
Produkt: RS353jw
Release: 10.1.21.101
KW: 06/2017
kst