3.3.4. Fragmentation (Fragmentierung)

Falls erforderlich, erfolgt die IP-Fragmentierung nach der AH-Verarbeitung innerhalb einer IPsec-Implementierung. Daher wird der Transportmodus-AH nur auf vollständige IP-Datagramme (nicht auf IP-Fragmente) angewendet. Ein IPv4-Paket, auf das AH angewendet wurde, kann selbst von Routern unterwegs fragmentiert werden, und solche Fragmente müssen vor der AH-Verarbeitung beim Empfänger wieder zusammengesetzt werden. (Dies gilt nicht für IPv6, wo es keine vom Router initiierte Fragmentierung gibt.) Im Tunnelmodus wird AH auf ein IP-Paket angewendet, dessen Nutzlast ein fragmentiertes IP-Paket sein kann. Beispielsweise kann ein Security Gateway oder eine "Bump-in-the-Stack"- oder "Bump-in-the-Wire"-IPsec-Implementierung (siehe das Security Architecture-Dokument für Details) Tunnelmodus-AH auf solche Fragmente anwenden.

HINWEIS: Für Transportmodus -- Wie am Ende von Abschnitt 3.1.1 erwähnt, müssen Bump-in-the-Stack- und Bump-in-the-Wire-Implementierungen möglicherweise zuerst ein von der lokalen IP-Schicht fragmentiertes Paket wieder zusammensetzen, dann IPsec anwenden und dann das resultierende Paket fragmentieren.

HINWEIS: Für IPv6 -- Für Bump-in-the-Stack- und Bump-in-the-Wire-Implementierungen wird es notwendig sein, alle Erweiterungsheader zu untersuchen, um festzustellen, ob es einen Fragmentierungsheader gibt und daher das Paket vor der IPsec-Verarbeitung wieder zusammengesetzt werden muss.

Fragmentierung, ob von einer IPsec-Implementierung oder von Routern entlang des Pfades zwischen IPsec-Peers durchgeführt, reduziert die Leistung erheblich. Darüber hinaus schafft die Anforderung, dass ein AH-Empfänger Fragmente zur Wiederzusammensetzung akzeptieren muss, Denial-of-Service-Schwachstellen. Daher KANN eine AH-Implementierung wählen, Fragmentierung nicht zu unterstützen und kann übertragene Pakete mit dem DF-Bit markieren, um Path MTU (PMTU)-Erkennung zu erleichtern. In jedem Fall MUSS eine AH-Implementierung die Generierung von ICMP-PMTU-Nachrichten (oder äquivalente interne Signalisierung für native Host-Implementierungen) unterstützen, um die Wahrscheinlichkeit von Fragmentierung zu minimieren. Details der für MTU-Verwaltung erforderlichen Unterstützung sind im Security Architecture-Dokument enthalten.