Le «serrage» de la taille maximale de segment (MSS) TCP est-il compatible avec IPv6?

9

Avec IPv4, le «verrouillage» TCP MSS (un périphérique réseau modifiant la valeur MSS dans un en-tête TCP) peut aider lorsque la découverte d'unité de transmission maximale de chemin ne fonctionne pas. (par exemple, lorsque ICMP est bloqué quelque part sur le chemin.) Puisqu'il n'y a pas de fragmentation dans IPv6, nous avons toujours le «paquet trop gros» d'ICMPv6 pour signaler le point final d'origine.

Existe-t-il des conseils sur le serrage de TCP MSS sur IPv6 en particulier?

Craig Constantine
la source

Réponses:

14

Eh bien, techniquement, la fragmentation peut se produire dans IPv6; Ceci est l'article wikipedia à ce sujet.

Cette page par Juniper est un peu vieux , mais il montre que vous pouvez bloquer un MSS TCP sur IPv6 sur Junos la même chose que vous en IPv4 en utilisant la même commande, tcp mss. Le même est montré dans cet article pour Cisco IOS 15, en utilisant la adjust-msscommande traditionnelle ip tcp .

Vous pouvez donc configurer le serrage MSS si PMTUD ne fonctionne pas comme il devrait l'être dans une partie de votre réseau, sinon, vous devez vous assurer que vous aidez le lissage de PTMUD à travers votre réseau afin que le serrage MSS ne soit pas nécessaire ( Je comprends que ce n'est pas toujours sous votre contrôle).

Mise à jour

Voici un lien vers un article Junos plus récent pour Junos 10x plutôt que 9, je ne peux pas en trouver un pour 11 et je ne suis pas devant 11 pour le moment, mais je m'attends à ce que ce soit la même chose.

jwbensley
la source
... suis-je en train de lire correctement la description de la fragmentation? La fragmentation IPv4 peut se produire à n'importe quel saut de la route, tandis qu'en IPv6, les routeurs doivent abandonner le paquet (notifier via ICMPv6), puis la fragmentation est effectuée par les points d'extrémité?
Craig Constantine
2
Oui c'est correct. La fragmentation dans la v6 n'est pas effectuée par les routeurs, sauf si le routeur agit en tant qu'hôte. IE: gestion du trafic sur v6, etc.
bigmstone
1
Il y a une subtilité ici en ce qu'au moins la version IOS de adjust-mss est cassée, en ce qu'elle bloque la v6, mais de manière incorrecte: blog.ioshints.info/2013/01/…
LapTop006
2

Il existe certainement des cas - impliquant généralement des tunnels IPv6 dans IPv4 à un moment donné du chemin - où même si PMTUD fonctionne correctement, la négociation MSS échoue. Dans ce cas, une session TCP peut démarrer correctement (car les paquets SYN / ACK sont petits) mais aucun paquet de données n'arrive (car ces paquets sont trop gros pour le tunnel). Dans ce cas, le serrage MSS à l'extrémité éloignée aiderait, mais n'est pas sous le contrôle de la "victime" en attente des paquets. La solution de sécurité est pour les deux extrémités de définir le MTU IPv6 sur 1280, qui devrait traverser n'importe quel tunnel.

Brian Carpenter
la source