Click here to load reader

Résoudre les problèmes de fragmentation IP, MTU, MSS · PDF fileMTU, MSS et PMTUD avec GRE et IPSEC Contenu ... L'identification est 16 bits et est une valeur affectée par l'expéditeur

  • View
    214

  • Download
    0

Embed Size (px)

Text of Résoudre les problèmes de fragmentation IP, MTU, MSS · PDF fileMTU, MSS et...

  • Rsoudre les problmes de fragmentation IP,MTU, MSS et PMTUD avec GRE et IPSEC Contenu

    IntroductionFragmentation et rassemblage IPProblmes de fragmentation IPvitez la fragmentation IP : Tches et fonctionnement de TCP MSSScnario 1Scnario 2Qu'est-ce que PMTUD ?Scnario 3Scnario 4Problmes survenant avec la dcouverte PMTUDTopologies rseau courantes ncessitant la dcouverte PMTUDQu'est-ce qu'un tunnel ?Considrations concernant les interfaces de tunnelLe routeur possde un participant PMTUD au niveau du point d'extrmit d'un tunnelScnario 5Scnario 6"Mode Tunnel IPsec pur Scnario 7Scnario 8GRE et IPsec ensembleScnario 9Scnario 10Autres recommandationsInformations connexes

    Introduction

    Le documentdcritcomment la dtection de fragmentation IP et de Maximum Transmission Unitde chemin (PMTUD) fonctionnent et discutent galement quelques scnarios qui comportent lecomportement de PMTUD une fois combins avec diffrentes combinaisons des tunnels IP.L'utilisation rpandue en cours des tunnels IP en Internet a apport les problmes qui impliquentla fragmentation IP et le PMTUD au premier rang.

    Fragmentation et rassemblage IP

    Le protocole IP a t conu en vue d'une utilisation sur une grande varit de liaisons detransmission. Bien que la longueur maximale d'un datagramme IP soit 65535, la plupart desliaisons de transmission imposent une plus petite limite maximum de longueur de paquet, appeleun MTU. La valeur de MTU dpend du type de liaison de transmission. La conception de l'IP

  • facilite des diffrences de MTU puisqu'elle permet des Routeurs de fragmenter desdatagrammes IP selon les besoins. La station de rception est responsable du rassemblage desfragments de nouveau dans le datagramme IP normal d'origine.

    La fragmentation IP implique de diviser un datagramme en un certain nombre de parties quipeuvent tre rassembles plus tard. La source IP, la destination, l'identification, la longueur totaleet les zones de dcalage de fragment, ainsi que les indicateurs autres fragments et ne pasfragmenter figurant dans l'en-tte IP, sont utiliss pour la fragmentation et le rassemblage IP.Pour plus d'informations sur les mcanismes de la fragmentation et du rassemblage IP, voir leRFC 791 .

    Cette imagedpeint l'affichage d'une en-tte IP.

    L'identification est 16 bits et est une valeur affecte par l'expditeur d'un datagramme IP faciliterle rassemblage des fragments d'un datagramme.

    Le dcalage de fragment est 13 bits et indique l'emplacement d'un fragment dans le datagrammeIP d'origine. Cette valeur est un multiple de huit octets.

    Dans le champ d'indicateurs de l'en-tte IP, il y a trois bits pour les indicateurs de contrle. Il estimportant de noter que le bit ne pas fragmenter (DF) joue un rle central dans PMTUD, parcequ'il dtermine si un paquet peut tre fragment.

    0 mordu est rserv, et est toujours plac 0. a mordu 1 est le bit DF (0 = peut fragmenter, 1= ne font pas fragment). Le bit 2 reprsente le bit MF (0 = dernier fragment , 1 = autresfragments ).

    Valeur Bit 0 rserv Bit 1 DF Bit 2 MF0 0 Mai Dernier1 0 Ne faites pas Plus

    http://www.ietf.org/rfc/rfc791.txt

  • Le prochain graphique affiche un exemple de fragmentation. Si vous ajoutez toutes les longueursde fragments IP, la valeur dpasse de 60 la longueur du datagramme IP d'origine. La raison pourlaquelle la longueur totale est augmente de 60 est la suivante : trois en-ttes IP supplmentairesont t cres (une pour chaque fragment suivant le premier fragment).

    Le premier fragment a un dcalage de 0, la longueur de ce fragment est 1500 ; cela inclut 20octets pour l'en-tte IP d'origine lgrement modifie.

    Le deuxime fragment a un dcalage de 185 (185 x 8 = 1480), ce qui signifie que la partie"donnes" de ce fragment dmarre 1480 octets dans le datagramme IP d'origine. La longueur dece fragment est 1500 ; cela inclut l'en-tte IP supplmentaire cre pour ce fragment.

    Le troisime fragment a un dcalage de 370 (370 x 8 = 2960), ce qui signifie que la partie"donnes" de ce fragment dmarre 2960 octets dans le datagramme IP d'origine. La longueur dece fragment est 1500 ; cela inclut l'en-tte IP supplmentaire cre pour ce fragment.

    Le quatrime fragment a un dcalage de 555 (555 x 8 = 4440), ce qui signifie que la partie"donnes" de ce fragment dmarre 4440 octets dans le datagramme IP d'origine. La longueur dece fragment est de 700 octets ; cela inclut l'en-tte IP supplmentaire cre pour ce fragment.

    La taille du datagramme IP d'origine ne peut tre dtermine qu'une fois le dernier fragment reu.

    Le dcalage de fragment du dernier fragment (555) entrane un dcalage de donnes de 4440octets dans le datagramme IP d'origine. Si vous ajoutez ensuite les octets de donnes du dernierfragment (680 = 700 - 20), on obtient 5120 octets, ce qui correspond la partie "donnes" dudatagramme IP d'origine. Ensuite, si vous ajoutez 20 octets pour une en-tte IP, vous obtenez lataille du datagramme IP d'origine (4440 + 680 + 20 = 5140).

    Problmes de fragmentation IP

    Il existe plusieurs problmes qui rendent la fragmentation IP indsirable. On assiste une faibleaugmentation de l'utilisation du processeur et de la mmoire pour la fragmentation d'un

  • datagramme IP. Cela se vrifie pour l'expditeur aussi bien que pour le routeur dans le chemincompris entre un expditeur et un rcepteur. La cration de fragments implique simplement decrer des en-ttes et de copier le datagramme initial dans les fragments. Cela peut tre fait assezefficacement, car toutes les informations requises pour la cration des fragments estimmdiatement disponible.

    La fragmentation entrane davantage de surcharge pour le rcepteur lors du rassemblage desfragments, car le rcepteur doit allouer de la mmoire pour les fragments en entre et lesfusionner de nouveau dans un datagramme une fois tous les fragments reus. Le rassemblagesur un hte n'est pas considr comme un problme, parce que l'hte possde les ressourcestemporelles et de mmoire suffisantes pour l'excution de cette tche.

    Mais le rassemblage est totalement inefficace sur un routeur dont le rle principal consiste expdier des paquets le plus rapidement possible. Les routeurs ne sont pas conus pour lartention de paquets pendant une dure indtermine. galement un routeur qui faitlerassemblage choisit la plus grande mmoire tampon disponible (18K) avec laquelle pourtravailler parce qu'elle n'a aucune manire de connatrela taille du paquet IP d'origine jusqu' ceque le dernier fragment soit reu.

    Un autre problme de fragmentation implique comment des fragments abandonns sontmanipuls. Si un fragment de datagramme IP est supprim, la totalit du datagramme IP d'originedoit tre renvoy, et il sera galement fragment. Vous pouvez en voir un exemple avec lesystme NFS (Network File System). Le NFS, par dfaut, a lue et crit la longueur de bloc de8192, ainsi un datagramme NFS IP/UDP sera approximativement 8500 octets (qui inclut des en-ttes NFS, d'UDP, et IP). Une station mettrice connecte Ethernet (MTU 1500) devrafragmenter le datagramme de 8500 octets en six parties : cinq fragments de 1500 octets et unfragment de 1100 octets. Si l'un des six fragmentssont abandonns en raison d'une liaisonencombre, le datagramme d'origine complet devra tre retransmis, ainsi il signifie que sixdavantage fragments devront tre crs. Si cette liaison supprime l'un des six paquets, il y a peude chances que les donnes NFS puissent tre transfres sur cette liaison : en effet, un fragmentIP minimum est dans ce cas supprim de chaque datagramme IP d'origine (NFS 8500 octets).

    Les Pare-feu qui filtrent ou manipulent des paquets bass sur la couche 4 (L4) par lesinformations de la couche 7 (L7) dans le paquet pourraientavoir le problme traitant desfragments IP correctement. Si les fragments IP sont en panne, un Pare-feu pourraitbloquer lesfragments non initiaux parce qu'ils ne diffusent pas les informations qui apparieraient le filtre depaquet. Cela signifie que le datagramme IP d'origine ne peut pas tre rassembl par l'hte dedestination. Si le pare-feu est configur de faon autoriser les fragments non initiaux avec desinformations insuffisantes en correspondance avec le filtre, une attaque de fragment non initial parle pare-feu risque de se produire. En outre, quelques paquets directs de priphriques de rseau(tels que les engines de commutateur satisfaites) bass sur L4 par les informations L7, et si unpaquet rpartit de plusieurs fragments, puis le priphrique pourraientavoir le problme imposantses stratgies.

    vitez la fragmentation IP : Tches et fonctionnement de TCP MSS

    La taille maximum de segment TCP (MSS) dfinit la quantit maximale de donnes qu'un htesouhaite accepter dans un datagramme TCP/IP simple. Ce datagramme TCP/IP pourraittrefragment la couche IP. La valeur MSS est envoye comme en-tte TCP uniquement dans lessegments TCP SYN. Chaque ct d'une connexion TCP indique sa valeur MSS l'autre ct.Contrairement ce que l'on croit, la valeur MSS n'est pas ngocie entre les htes. L'hteexpditeur doit limiter la taille des donnes dans les segments TCP une valeur infrieure ou

  • gale au MSS indiqu par l'hte de destination.

    Initialement, la valeur MSS indiquait la taille d'une mmoire tampon (suprieure ou gale 65496K) alloue une station de destination, lui permettant de stocker les donnes TCPcontenues dans un datagramme IP simple. MSS tait le segment maximum de donnes (bloc)que le rcepteur TCP souhaitait accepter. Ce segment TCP pouvait atteindre 64K (la taillemaximum de datagramme IP) et pouvait tre fragment au niveau de la couche IP afin d'tretransmis via le rseau l'hte de destination. L'hte de destination pouvait alors rassembler ledatagramme IP avant de transmettre le segment TCP complet la couche TCP.

    Sont ci-dessous quelques scnarios qui affichent comment des valeurs MSS sont places etutilises pour limiter des tailles de segment de TCP, et donc, des tailles de datagr

Search related