Passa al contenuto principale

3.3.4. Fragmentation

Se richiesto, la frammentazione IP avviene dopo l'elaborazione AH all'interno di un'implementazione IPsec. Pertanto, AH in modalità trasporto viene applicato solo a datagrammi IP completi (non a frammenti IP). Un pacchetto IPv4 a cui è stato applicato AH può essere esso stesso frammentato dai router lungo il percorso, e tali frammenti devono essere riassemblati prima dell'elaborazione AH presso un ricevitore. (Questo non si applica a IPv6, dove non esiste frammentazione avviata dal router.) In modalità tunnel, AH viene applicato a un pacchetto IP, il cui payload può essere un pacchetto IP frammentato. Ad esempio, un gateway di sicurezza o un'implementazione IPsec "bump-in-the-stack" o "bump-in-the-wire" (vedere il documento Security Architecture per i dettagli) può applicare AH in modalità tunnel a tali frammenti.

NOTA: Per la modalità trasporto -- Come menzionato alla fine della Sezione 3.1.1, le implementazioni bump-in-the-stack e bump-in-the-wire potrebbero dover prima riassemblare un pacchetto frammentato dal livello IP locale, quindi applicare IPsec, e quindi frammentare il pacchetto risultante.

NOTA: Per IPv6 -- Per le implementazioni bump-in-the-stack e bump-in-the-wire, sarà necessario esaminare tutte le intestazioni di estensione per determinare se esiste un'intestazione di frammentazione e quindi che il pacchetto necessita di riassemblaggio prima dell'elaborazione IPsec.

La frammentazione, sia eseguita da un'implementazione IPsec che dai router lungo il percorso tra peer IPsec, riduce significativamente le prestazioni. Inoltre, il requisito per un ricevitore AH di accettare frammenti per il riassemblaggio crea vulnerabilità di denial of service. Pertanto, un'implementazione AH PUÒ scegliere di non supportare la frammentazione e può contrassegnare i pacchetti trasmessi con il bit DF, per facilitare la scoperta del Path MTU (PMTU). In ogni caso, un'implementazione AH DEVE supportare la generazione di messaggi ICMP PMTU (o segnalazione interna equivalente per implementazioni host native) per ridurre al minimo la probabilità di frammentazione. I dettagli del supporto richiesto per la gestione MTU sono contenuti nel documento Security Architecture.

Ultimo aggiornamento il