3.3.4. Fragmentation (分片)

如果需要, IP 分片 (fragmentation) 在 IPsec 实现中的 AH 处理之后发生。因此, 传输模式 AH 仅应用于完整的 IP 数据报 (而不是 IP 分片)。已应用 AH 的 IPv4 数据包本身可能在途中被路由器分片, 并且此类分片必须在接收方进行 AH 处理之前重组。(这不适用于 IPv6, 因为 IPv6 没有路由器发起的分片。) 在隧道模式下, AH 应用于 IP 数据包, 其载荷可能是分片的 IP 数据包。例如, 安全网关或 "bump-in-the-stack" 或 "bump-in-the-wire" IPsec 实现 (有关详细信息, 请参阅安全架构文档) 可能将隧道模式 AH 应用于此类分片。

注意: 对于传输模式 -- 如第 3.1.1 节末尾所述, bump-in-the-stack 和 bump-in-the-wire 实现可能必须首先重组由本地 IP 层分片的数据包, 然后应用 IPsec, 然后分片生成的数据包。

注意: 对于 IPv6 -- 对于 bump-in-the-stack 和 bump-in-the-wire 实现, 有必要检查所有扩展头以确定是否存在分片头, 从而确定数据包在 IPsec 处理之前需要重组。

分片, 无论是由 IPsec 实现执行还是由 IPsec 对等体之间路径上的路由器执行, 都会显著降低性能。此外, AH 接收方接受分片进行重组的要求会产生拒绝服务 (denial of service) 漏洞。因此, AH 实现可以 (MAY) 选择不支持分片, 并可以用 DF 位标记传输的数据包, 以促进 Path MTU (PMTU) 发现。无论如何, AH 实现必须 (MUST) 支持生成 ICMP PMTU 消息 (或本地主机实现的等效内部信令), 以最小化分片的可能性。MTU 管理所需的支持详细信息包含在安全架构文档中。