четверг, 21 июня 2012 г.

Предотвращение IP-фрагментации. Что такое TCP MSS и как оно работает


Оригинал тут http://www.cyberguru.ru/networks/protocols/ip-fragmentation-page3.html

Максимальный Размер TCP Сегмента (MSS) определяет максимальное количество данных, которые хост желает принимать в единственной TCP/IP датаграмме. Эта TCP/IP датаграмма может быть фрагментирована в уровне IP. Значение MSS посылают как опциию TCP заголовка только в сегменте TCP SYN. Каждая сторона на TCP соединении сообщает свое значение MSS другой стороне. Хост отправитель обязан ограничивать размер данных в единственном TCP сегменте в значение, меньшем или равном MSS, о котором сообщает хост получатель. 

Первоначально, значение MSS означало, сколько памяти нужно выделить (больше или равной 65496 КБ) на станции получателя, чтобы в состоянии хранить TCP данные, содержавшиеся в пределах единственной IP датаграммы. MSS был максимальным сегментом (кусочком) данных, которые желал принимать TCP получатель. Этот TCP сегмент мог быть огромным, примерно до 64 КБ (максимальный размер IP датаграммы), и его необходимо было фрагментировать на уровне IP, чтобы передать по сети к хосту получателю. Принимающий хост повторно должен был собрать IP датаграмму прежде, чем передать полный TCP сегмент на уровень TCP.

Рассмотрим ниже несколько показательных сценариев, от том как установливаются и используются значения MSS, чтобы ограничить размеры TCP сегмента, и соотвественно, размеры IP датаграммы. 

Сценарий 1 иллюстрирует способ, которым реализовывлся MSS ранее. Хост A имеет буфер 16 КБ а Хост B - буфер 8 КБ. Они посылают и получают свои МSS значения и корректируют их чтобы послать данные друг другу. Заметьте, что Хост A и Хост B должны фрагментировать IP датаграммы, которые по размеру больше чем MTU интерфейса, но все еще меньше чем посылаемый MSS, потому что стек TCP может передать 16 КБ или 8 КБ данных в IP стек. В случае Хоста B, пакеты могут быть фрагментированы дважды, один раз, чтобы дойти до Token Ring LAN и еще раз, чтобы добраться до сети Ethernet.

IP-фрагментация - Сетевые протоколы - Сети и интернет - Программирование, исходники, операционные системы
  1. Хост А посылает свое MSS значениеХ в 16К Хосту B
  2. Хост B принимает значение MSS 16K от Хоста A
  3. Хост B устанавливает MSS посылки в значение 16K
  4. Хост B посылает свое значение MSS в 8K хосту A
  5. Хост A принимает значение MSS 8K от Хоста B
  6. Хост A устанавливает MSS посылки в значение 8K
Для того, чтобы уйти от IP-фрагментации, на конечных точках TCP соединения, выбранные значения MSS были изменены на минимальный размер буфера и MTU исходящего интерфейса (-40). Значение MSS на 40 байт меньше чем значение MTU, потому что MSS это только размер TCP данных, который не включает 20-байтовый заголовок IP и 20-байтовый заголовок TCP. MSS основан на значениях размера заголовков по умолчанию; стек отправителя должен вычесть соответствующие значения для IP заголовка и TCP заголовка в зависимости от того, какая используется TCP или IP опция. 

Способ которым теперь работает MSS это то, что каждый хост сначала сравнивает свой MTU исходящего интерфейса с его собственным буфером и выберет самое низкое значение в качестве MSS, для посылки. Затем хосты сравнят полученный размер MSS, с их собственным MTU интерфейса и снова выберут меньшее из двух значений. 

Сценарий 2 иллюстрирует этот дополнительный шаг, сделанный отправителем, чтобы избежать фрагментации на локальных и удаленных каналах. Посмотрите, как принимается во внимание MTU исходящего интерфейса каждым хостом (прежде, чем хосты пошлют друг другу свои значения MSS), и как это помогает избежать фрагментации.

IP-фрагментация - Сетевые протоколы - Сети и интернет - Программирование, исходники, операционные системы
  1. Хост A сравнивает свой MSS буфер (16 КБ) и свой MTU (1500 - 40 = 1460) и использует наименьшее значение как MSS (1460), чтобы послать его Хосту B. 
  2. Хост B получает MSS (1460) который послал хост A, и сравнивает его со значением MTU своего исходящего интерфейса - 40 (4422). 
  3. Хост B устанавливает наименьшее значение (1460) как MSS для того, чтобы послать IP датаграммы Хосту A. 
  4. Хост B сравнивает свой MSS буфер (8 КБ) и свой MTU (4462-40 = 4422) и использует 4422 как MSS, чтобы послать его Хосту A. 
  5. Хост A получает MSS от хоста B (4422), и сравнивает его со значением MTU своего исходящего интерфейса -40 (1460). 
  6. Хост А устанавливает наименьшее значение (1460) как MSS для того, чтобы посылать IP датаграммы Хосту B. 
1460 это значение, выбранное обоими хостами как МSS посылка друг для друга. Часто посылаемое значение MSS будет тем же самым на каждой стороне TCP соединения. 

В Сценарии 2, фрагментация не происходит, потому что хостами были приняты во внимание MTU обоих интерфейсов. Пакеты могут все еще фрагментироваться в сети между Router A и Router B, если они встретят линк с более низким MTU.

Проблемы IP-фрагментации


Оригинал http://www.cyberguru.ru/networks/protocols/ip-fragmentation-page2.html

Существуют несколько проблем, когда IP-фрагментация нежелательна. Чтобы фрагментировать IP датаграмму требуются больше ресурсов CPU и памяти. Это справедливо как для отправителя так и для маршрутизатора между отправителем и получателем. Создание фрагментов просто влечет за собой создание заголовков для IP-фрагментов и копирование оригинальной датаграммы во фрагменты. Это может быть сделано достаточно эффективно, потому что вся информация для создания фрагментов уже доступна. 

Фрагментация накладывает больше расходов для получателя, когда он повторно собирает фрагменты, потому что получатель должен выделять память для прибывающих фрагментов и соединять их обратно в одну датаграмму после того, как получены все фрагменты. Реассемблирование на хосте это не проблема, потому что хост имеет время и ресурсы памяти, чтобы посвятить их этой задаче. 

пятница, 15 июня 2012 г.

Double tagging, QINQ. Двойной тэггинг.


 нужно пройти процедуру согласования номера влана, все коммерческие процедуры… Дело может затянуться не на один день. В общем, попали мы в такую ситуацию, что в городе М, оператор заворачивает наши вланы в ещё один тэг, пуская их по своей сети уже этим номером. Первых тэгов он не видит вообще.
Вот такая схема:



На его коммутаторе акцесный (access) порт, который ставит на приходящие в него пакеты номер 50.

#
interface Ten-GigabitEthernet1/0/3
 description QINQ-M-to-K
 port access vlan 50
 qinq enable
#

Со своей стороны я отдаю в него вланы 3071, 3072 транком.

interface Ten-GigabitEthernet1/0/16
 description to-city-K
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 3031 to 3032
 qos trust dscp