3.3.4. Fragmentation (フラグメンテーション)

必要な場合, IPフラグメンテーションはIPsec実装内のAH処理の後に発生します。したがって, トランスポートモードAHは完全なIPデータグラムにのみ適用されます (IPフラグメントには適用されません)。AHが適用されたIPv4パケット自体は, ルート上のルーターによってフラグメント化される可能性があり, このようなフラグメントは受信者でのAH処理の前に再構築する必要があります。(これはIPv6には適用されません。IPv6ではルーター起動のフラグメンテーションはありません。) トンネルモードでは, AHはIPパケットに適用され, そのペイロードはフラグメント化されたIPパケットである可能性があります。例えば, セキュリティゲートウェイまたは「bump-in-the-stack」または「bump-in-the-wire」IPsec実装 (詳細についてはセキュリティアーキテクチャ文書を参照してください) は, このようなフラグメントにトンネルモードAHを適用する場合があります。

注: トランスポートモードの場合 -- セクション3.1.1の最後で述べたように, bump-in-the-stackおよびbump-in-the-wire実装は, 最初にローカルIPレイヤーによってフラグメント化されたパケットを再構築し, 次にIPsecを適用し, その後結果のパケットをフラグメント化する必要がある場合があります。

注: IPv6の場合 -- bump-in-the-stackおよびbump-in-the-wire実装の場合, フラグメンテーションヘッダーがあるかどうかを判断し, したがってIPsec処理の前にパケットを再構築する必要があるかどうかを判断するために, すべての拡張ヘッダーを調べる必要があります。

フラグメンテーションは, IPsec実装によって実行される場合でも, IPsecピア間のパス上のルーターによって実行される場合でも, パフォーマンスを大幅に低下させます。さらに, AH受信者が再構築のためにフラグメントを受け入れるという要件は, サービス拒否の脆弱性を生み出します。したがって, AH実装はフラグメンテーションをサポートしないことを選択してもよく (MAY), パスMTU (PMTU) ディスカバリーを容易にするために, 送信されるパケットにDFビットをマークする場合があります。いずれの場合でも, AH実装は, フラグメンテーションの可能性を最小限に抑えるために, ICMP PMTUメッセージ (またはネイティブホスト実装の同等の内部シグナリング) の生成をサポートしなければなりません (MUST)。MTU管理に必要なサポートの詳細は, セキュリティアーキテクチャ文書に含まれています。