L******t
发帖数: 1985 | 1 网管看到fragmented traffic会不会调整网络避免fragment?
什么use case下traffic fragmentation常见,或者说被接受? |
x*********n
发帖数: 28013 | 2 这个很常见。
一般都是PMTU discovery enable了,或者改mtu |
m**k
发帖数: 290 | 3
ISP一般都允许 fragmented packets.
接入网可以丢掉这些包。因为edge router的firewall filter大都是stateless, 没有
办法对这些包分类过滤。丢掉这些包可以避免 flooding attack.
常用的网络协议都支持 pmtu discovery. 所以禁止fragmentation对应用层影响不大。
【在 L******t 的大作中提到】
: 网管看到fragmented traffic会不会调整网络避免fragment?
: 什么use case下traffic fragmentation常见,或者说被接受?
|
L******t
发帖数: 1985 | 4 IPv4 routers虽然理论上都支持fragment oversized packets,但实际上hardware
forwarding做不了,software forwarding doable但肯定not desirable。所以我想知
道网管的common practice是什么?
关于常用的网络协议都支持pmtu discovery,能否举个例子?什么时候IPv4 Host在往
某个目的Host发包前会先做PMTUD?
【在 m**k 的大作中提到】
:
: ISP一般都允许 fragmented packets.
: 接入网可以丢掉这些包。因为edge router的firewall filter大都是stateless, 没有
: 办法对这些包分类过滤。丢掉这些包可以避免 flooding attack.
: 常用的网络协议都支持 pmtu discovery. 所以禁止fragmentation对应用层影响不大。
|
m**k
发帖数: 290 | 5
hardware forwarding 没有问题。
hardware fragmentation 应该也没有问题吧,不是很确定。
hardware re-assembly 不需要router处理,所以router不需要在硬件里实现这个功能
。除非做 NATing 是需要的。NATing 和 router的硬件差别应该很大吧。
TCP支持 PMTU discovery. 当 TCP 发一个数据包比 pmtu 大时,这个数据包会被某个
router 分割,这个 router 会返回一个 ICMP unreach with reason "frag needed".
当TCP 收到这个 ICMP 时,会自动更新 PMTU.
IP 协议规定所有的 router 都必须支持 ICMP unreach. 所以即使 router 不进行分割
,或者不转发分割包,TCP 也可以正常工作。
UDP不支持 PMUT discovery. 常用的网络协议,比如 DNS, NTP 用的数据包都很小,不
需要分割。如果需要发送大 UDP 包,那就需要在应用层实现 PMTU discovery.
现在的 Internet, IP transit provider 都用1500 MTU, 而且都支持 fragmentation.
对用户网络来说,你要知道你支持的协议需不需要 fragmentation. 支持
fragmentation 的代价 (cannot filter malicious fragments on edge router) 等等。
可以只对某些 IP 允许,同时对这些 IP 做流量控制。
【在 L******t 的大作中提到】
: IPv4 routers虽然理论上都支持fragment oversized packets,但实际上hardware
: forwarding做不了,software forwarding doable但肯定not desirable。所以我想知
: 道网管的common practice是什么?
: 关于常用的网络协议都支持pmtu discovery,能否举个例子?什么时候IPv4 Host在往
: 某个目的Host发包前会先做PMTUD?
|
m**k
发帖数: 290 | 6 Back to your orignal question. Fragmentation is a sub-optimal case, and
should be avoided when possible.
For example, if you use tunneling or MPLS in your backbone, you should
increase your backbone MTU to accomodate for the tunneling headers.
【在 L******t 的大作中提到】
: 网管看到fragmented traffic会不会调整网络避免fragment?
: 什么use case下traffic fragmentation常见,或者说被接受?
|
x*********n
发帖数: 28013 | 7 “常用的网络协议都支持pmtu discovery”这个不对。
fragmentation只在TCP讲,TCP上面有6个flag,其中一个bit DF就是给这个pmtu
discovery准备的。所以只要跑TCP,这个就会支持。
by default,一个包发过去,只看interface的容量,interface不到就会丢包
pmtu discovery junos以前版本都是disabled,后续版本才开始by default enabled,
很多别的厂家不用的。这个只有在别的端 device不确定的时候,才用,不然我改TCP
mss就好了。
【在 L******t 的大作中提到】
: IPv4 routers虽然理论上都支持fragment oversized packets,但实际上hardware
: forwarding做不了,software forwarding doable但肯定not desirable。所以我想知
: 道网管的common practice是什么?
: 关于常用的网络协议都支持pmtu discovery,能否举个例子?什么时候IPv4 Host在往
: 某个目的Host发包前会先做PMTUD?
|
x*********n
发帖数: 28013 | 8 PMTU 不是定义一个MTU,是auto discovery,
用一个包发过去,每个interface找,发现比他大icmp送回去,然后找到最小的。
1500是ethernet的default,20 IP header,20 TCP header,最大可用是1460,tunnel
一般要减小一点,vpn都是设成1420的。
个
.
【在 m**k 的大作中提到】
: Back to your orignal question. Fragmentation is a sub-optimal case, and
: should be avoided when possible.
: For example, if you use tunneling or MPLS in your backbone, you should
: increase your backbone MTU to accomodate for the tunneling headers.
|
b***p
发帖数: 700 | 9 这个不对吧,fragementation肯定是IP层的,DF bit在IP header里面 |
x*********n
发帖数: 28013 | 10 对。是在IP header里。
TCP 6个,2个很少用,其它push,reset啥的比较常见。
【在 b***p 的大作中提到】
: 这个不对吧,fragementation肯定是IP层的,DF bit在IP header里面
|
|
|
L******t
发帖数: 1985 | 11 网管看到fragmented traffic会不会调整网络避免fragment?
什么use case下traffic fragmentation常见,或者说被接受? |
x*********n
发帖数: 28013 | 12 这个很常见。
一般都是PMTU discovery enable了,或者改mtu |
m**k
发帖数: 290 | 13
ISP一般都允许 fragmented packets.
接入网可以丢掉这些包。因为edge router的firewall filter大都是stateless, 没有
办法对这些包分类过滤。丢掉这些包可以避免 flooding attack.
常用的网络协议都支持 pmtu discovery. 所以禁止fragmentation对应用层影响不大。
【在 L******t 的大作中提到】
: 网管看到fragmented traffic会不会调整网络避免fragment?
: 什么use case下traffic fragmentation常见,或者说被接受?
|
L******t
发帖数: 1985 | 14 IPv4 routers虽然理论上都支持fragment oversized packets,但实际上hardware
forwarding做不了,software forwarding doable但肯定not desirable。所以我想知
道网管的common practice是什么?
关于常用的网络协议都支持pmtu discovery,能否举个例子?什么时候IPv4 Host在往
某个目的Host发包前会先做PMTUD?
【在 m**k 的大作中提到】
:
: ISP一般都允许 fragmented packets.
: 接入网可以丢掉这些包。因为edge router的firewall filter大都是stateless, 没有
: 办法对这些包分类过滤。丢掉这些包可以避免 flooding attack.
: 常用的网络协议都支持 pmtu discovery. 所以禁止fragmentation对应用层影响不大。
|
m**k
发帖数: 290 | 15
hardware forwarding 没有问题。
hardware fragmentation 应该也没有问题吧,不是很确定。
hardware re-assembly 不需要router处理,所以router不需要在硬件里实现这个功能
。除非做 NATing 是需要的。NATing 和 router的硬件差别应该很大吧。
TCP支持 PMTU discovery. 当 TCP 发一个数据包比 pmtu 大时,这个数据包会被某个
router 分割,这个 router 会返回一个 ICMP unreach with reason "frag needed".
当TCP 收到这个 ICMP 时,会自动更新 PMTU.
IP 协议规定所有的 router 都必须支持 ICMP unreach. 所以即使 router 不进行分割
,或者不转发分割包,TCP 也可以正常工作。
UDP不支持 PMUT discovery. 常用的网络协议,比如 DNS, NTP 用的数据包都很小,不
需要分割。如果需要发送大 UDP 包,那就需要在应用层实现 PMTU discovery.
现在的 Internet, IP transit provider 都用1500 MTU, 而且都支持 fragmentation.
对用户网络来说,你要知道你支持的协议需不需要 fragmentation. 支持
fragmentation 的代价 (cannot filter malicious fragments on edge router) 等等。
可以只对某些 IP 允许,同时对这些 IP 做流量控制。
【在 L******t 的大作中提到】
: IPv4 routers虽然理论上都支持fragment oversized packets,但实际上hardware
: forwarding做不了,software forwarding doable但肯定not desirable。所以我想知
: 道网管的common practice是什么?
: 关于常用的网络协议都支持pmtu discovery,能否举个例子?什么时候IPv4 Host在往
: 某个目的Host发包前会先做PMTUD?
|
m**k
发帖数: 290 | 16 Back to your orignal question. Fragmentation is a sub-optimal case, and
should be avoided when possible.
For example, if you use tunneling or MPLS in your backbone, you should
increase your backbone MTU to accomodate for the tunneling headers.
【在 L******t 的大作中提到】
: 网管看到fragmented traffic会不会调整网络避免fragment?
: 什么use case下traffic fragmentation常见,或者说被接受?
|
x*********n
发帖数: 28013 | 17 “常用的网络协议都支持pmtu discovery”这个不对。
fragmentation只在TCP讲,TCP上面有6个flag,其中一个bit DF就是给这个pmtu
discovery准备的。所以只要跑TCP,这个就会支持。
by default,一个包发过去,只看interface的容量,interface不到就会丢包
pmtu discovery junos以前版本都是disabled,后续版本才开始by default enabled,
很多别的厂家不用的。这个只有在别的端 device不确定的时候,才用,不然我改TCP
mss就好了。
【在 L******t 的大作中提到】
: IPv4 routers虽然理论上都支持fragment oversized packets,但实际上hardware
: forwarding做不了,software forwarding doable但肯定not desirable。所以我想知
: 道网管的common practice是什么?
: 关于常用的网络协议都支持pmtu discovery,能否举个例子?什么时候IPv4 Host在往
: 某个目的Host发包前会先做PMTUD?
|
x*********n
发帖数: 28013 | 18 PMTU 不是定义一个MTU,是auto discovery,
用一个包发过去,每个interface找,发现比他大icmp送回去,然后找到最小的。
1500是ethernet的default,20 IP header,20 TCP header,最大可用是1460,tunnel
一般要减小一点,vpn都是设成1420的。
个
.
【在 m**k 的大作中提到】
: Back to your orignal question. Fragmentation is a sub-optimal case, and
: should be avoided when possible.
: For example, if you use tunneling or MPLS in your backbone, you should
: increase your backbone MTU to accomodate for the tunneling headers.
|
b***p
发帖数: 700 | 19 这个不对吧,fragementation肯定是IP层的,DF bit在IP header里面 |
x*********n
发帖数: 28013 | 20 对。是在IP header里。
TCP 6个,2个很少用,其它push,reset啥的比较常见。
【在 b***p 的大作中提到】
: 这个不对吧,fragementation肯定是IP层的,DF bit在IP header里面
|
I********x
发帖数: 858 | 21
tunnel
网络上的设备只有三层设备才有能力分割包,但是如果大家关注一下实际应用就会发现
分割绝大多数情况下在会话端的操作系统上就完成了。抓一下windows发的数据包就会
发现DF=1.
我们做的骨干网上都支持jumbo frame甚至到接入层都支持,所以实际上网管已经不用
关心有没有分割包。
唯一的问题是防火墙,因为防火墙不重组包就不能做deep inspection,这样会影响性
能。
另外我们在实际中碰到过IOS NAT好像会重组virtual assemble (?) 这个会降低NAT设
备的性能。
【在 x*********n 的大作中提到】
: PMTU 不是定义一个MTU,是auto discovery,
: 用一个包发过去,每个interface找,发现比他大icmp送回去,然后找到最小的。
: 1500是ethernet的default,20 IP header,20 TCP header,最大可用是1460,tunnel
: 一般要减小一点,vpn都是设成1420的。
:
: 个
: .
|
m***i
发帖数: 7 | 22 DF is ip layer flag, so both UDP and TCP support ip fragmentation |
