ANALSIS DEL PROBLEMA: NO RESPUESTA A PINGS

DE DETERMINADO TAMAO
MTU Ethernet
La mtu de una ethernet es 1514 bytes. Los bytes siguen la siguiente distribucin
- Cabecera ethernet: 14 bytes
- Payload ethernet: 1500 bytes. Considerando el caso protocolo IP:
- Cabecera IP, si no hay opciones: 20 bytes
- Payload IP si no hay opciones: 1480 bytes. Considerando el caso de un ping
ICMP:
- Cabecera ICMP: 8 bytes.
- Datos ICMP: 1472 bytes.
MTU ATM
La mtu de ATM tiene un valor por defecto de 1536. Est ajustado para soportar, sin
fragmetar, un paquete IP originado desde un equipo situado en una ethernet sea
cual sea el encapsulado usado en ATM (LLC o VC y en ellos PPPoE, PPPoA o IP
directamente). Si el encapsulado es IP/LLC entonces la distribucin de bytes es la
siguiente:
- Bytes ATM (cabecera, trailer, guarda): 14 bytes
- Payload ATM: 1522 bytes. Considerando el caso protocolo IP:
- Cabecera IP, si no hay opciones: 20 bytes
- Payload IP si no hay opciones: 1502 bytes. Considerando el caso de un ping
ICMP:
- Cabecera ICMP: 8 bytes.
- Datos ICMP: 1494 bytes.
Flujo de paquetes en claro
Si desde un equipo situado en la ethernet se realizan pings de 1472 bytes de datos,
dicho paquete a N2 ethernet ocupa 1514 bytes. Una vez recibido por el router, se
elimina la cabecera ethernet, con lo que queda un paquete IP de 1500 bytes que es
menor que el valor de MTU-IP de ATM (1522), con lo que el paquete se transmite
sin fragmentar.
Flujo de paquetes cifrados mediante IpSec
Cuando al anterior flujo de tramas se le aade IpSec, o cualquier tipo de
encapsulado/tunel como GRE, al paquete una vez recibido por el router, tras
eliminar la cabecera ethernet (1500 bytes IP) , se le aade la cabecera IpSec o
GRE, con lo que aumenta. Si este paquete se intenta transmitir por un interfaz ATM
con el valor de IP-MTU ajustado a 1522, se tiene que fragmentar en 2 paquetes.
Flujo de paquetes DE ESTE CASO CONCRETO
En el caso concreto del cliente, el router est configurado para hacer IpSec (se
aade una cabecera de 52 bytes), con lo que el payload mximo sin fragmentar en
ethernet es de 1472-52 = 1420 bytes, y en ATM con MTU 1536 es de 1494-52 =
1442.
Anlisis del problema y pruebas
Si se realizan pings de ms de 1420 bytes es normal que se produzca
fragmentacin en ethernet, si se realizan pings de ms de 1442 es normal que se
produzca fragmentacin en ATM. Lo que no es normal es que, el ping no sea
respondido.

Por qu no nos responden al ping?

Para simplificar el escenario, se decide enviar pings en claro, sin encapsular en
IpSec. Para ello se realizan los pings, originados en el router, de WAN a WAN, es
decir con origen y destino las direcciones IP de ATM.
Prueba 1:
Se deja un ping de 1495 y mediante las trazas IP se observa que el equipo emisor
realiza fragmentacin: es normal, porque como se ha dicho antes, ATM soporta
hasta 1494 sin fragmentar. Cada ping queda dividido en dos paquetes de tamao
(datos ICMP) 1494 y 1. Al otro extremo llegan 2 fragmentos, pero no se
reensamblan debido a que se queda esperando a un fragmento ms. La nica
explicacin es que haya algn equipo intermedio haciendo algo raro.
Prueba 2:
Se deja un ping de 1473 y mediante las trazas IP se observa que el equipo emisor
no realiza fragmentacin. En recepcin se observa la llegada de 2 fragmentos, en
este caso s se reensamblan y el ping se responde correctamente. Conclusin,
existe un equipo intermedio que realiza fragmentacin a valores de IP-MTU de una
Ethernet.
Prueba 3:
Se realiza un ping de 1473 con el bit DNF activado. Mediante trazas ICMP se
observa que nos llega un ICMP de error de fragmentacin desde un nodo
intermedio con direccin IP 10.11.155.193 (nodo de telefnica, direccin IP
privada).
Con estos datos, analicemos que debera pasar con un paquete de 1495. Debera
ser fragmentado por el router emisor en 2 paquetes de 1494 y 1 byte
respectivamente. Dichos paquetes viajaran por la red ATM y se encuentraran con
el nodo 10.11.155.193, este nodo refragmentara el fragmento primero de valor
1494 en 2 fragmentos de valores 1472 y 22 bytes respectivamente. En el extremo
remoto deberamos encontrarnos, por tanto, 3 fragmentos de valores: 1472, 22 y
1. La realidad, como se ve en la primera prueba es que llegan 2 fragmentos.
Conclusin: cuando hay refragmentacin se pierde uno de los fragmentos.
Posiblemente, el fragmento lo pierde el router intermedio de telefnica. De ah que
se observe lo siguiente:
1. Los pings desde 0 a 1494 bytes funcionan correctamente.
2. Pings de valor mayor a 1494 bytes no llegan.
En el caso de IpSec, el cabecero extra aadido es de 52 bytes, con lo que:
3. Los pings desde 0 a 1442 bytes funcionan correctamente.
4. Pings de valor mayor a 1442 bytes no llegan.
Por qu el cliente de IpSec o tnel GRE es el nico que percibe este problema?
Porque cuando no hay IpSec ni GRE los equipos situados en Ethernets envan
paquetes con tamao de trama IP 1500, y este valor nunca es fragmentado por el
router intermedio falluto de telefnica.
Solucin a este problema
Modificar la MTU de ATM para que no se produzca doble fragmentacin.
1.-Bajndola, para que sea el router emisor el que fragmenta: MTU menor o igual a
1514
2.-Subindola, para que sea el router intermedio el que fragmente: MTU mayor que
1514+52 = 1566.