Autor: Piotr Kucharski (chopin_at_sgh.waw.pl)
Data: Fri 10 Mar 2000 - 00:44:35 MET
neq <neq_at_ags.pl> wrote:
>> Na mechanizmie PMTU discovery mi zależy.
[... big ciach ...]
> 10008 bytes from 195.205.87.223: icmp_seq=3 ttl=247 time=537.0 ms
Jak ten host ma MTU 576 to faktycznie nic nie zauważy, eh. Nie
chce mi się powtarzać po Moskicie, ale to trochę nie o to chodzi.
W skrócie: jak mamy włączone PMTU Discovery, to wysyłamy pakiety
o wielkości swojego MTU i ustawionym bitem DF. Jeśli _po drodze_ coś
ma mniejsze MTU, to odsyła nam ICMP Fragmentation needed but DF set.
Wtedy my zmniejszamy rozmiar pakietu póki nie przejdzie. Jeśli się
zdarzy (pech?) że to coś ma IP z prywatnej puli, to wyśle ICMP z
takim właśnie adresem źródłowym. Wiele sieci nie przyjmuje pakietów
ze źródłowym adresem z prywatnej puli -- i w zasadzie słusznie.
Ba! Żaden router BGP nie przeroutuje takiego pakietu. W efekcie
nasza sieć nie dostanie tego cennego ICMP i będzie się próbować
dobijać do drugiej póki nie wskoczą timeout'y. Nieprzyjemne o tyle,
że połączyć się połączy (bo to małe pakiety), ale nic większego
nie przejdzie.
Jeśli chcesz wypróbować, jak to jest, to a) zmniejsz MTU na łączu
używającym prywatnych adresów (do 576) b) zwiększ MTU na serwerze,
z którego będziesz sprawdzać (do 1500) c) włącz mechanizm PMTU
Discovery (hm, chyba jest domyślnie wszędzie włączony) d) jeśli
adresy prywatne nie są blokowane wcześniej, to sam je zablokuj.
Pinguj z tego hosta pakietami większymi niż 576. Watch the fun.
p.
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:29:58 MET DST