Атрибут FragmentSize

Атрибут FragmentSize управляет функциональностью фрагментирования IKE-пакетов. Этот атрибут рекомендуется использовать в случае массового пересоздания SA.

Синтаксис

FragmentSize = ЦЕЛОЕ32

Значение

Целое число из диапазона 0..65535.

Значение – максимальный размер результирующего IP-пакета в байтах.

 

Примечание:

Следует учитывать, что операционная система сама устанавливает длину ip-заголовка, что может приводить к фактическому уменьшению длины ip-пакета с IKE-фрагментом на величину до 44 байт (максимально допустимый размер ip-заголовка – 64 байта, наиболее часто используемый – 20 байтов).

 

0 – отключает функциональность фрагментирования IKE-пакетов. Партнёр о поддержке фрагментирования IKE-пакетов не оповещается, отсылаемые IKE-пакеты не фрагментируются, принимаемые фрагменты не собираются.

 

Ненулевое заданное значение может корректироваться в большую сторону таким образом, чтобы максимально возможный ISAKMP-пакет длиной 64Kb мог быть разбит на 255 фрагментов (это означает, что минимальная длина UDP-пакета с IKE-фрагментом не может быть менее 304 байтов).

Значение по

умолчанию

576

 

Фрагментирование IKE-пакетов необходимо в тех случаях, когда в процессе доставки длинные UDP-пакеты либо не пропускаются промежуточным узлом, либо некорректно фрагментируется на ip-уровне.

Проблема актуальна для IKE-пакетов с потенциально длинным содержимым: сертификаты, идентификаторы, открытые ключи и инициализационные данные.

IKE-пакеты, отсылаемые непосредственно после их формирования, всегда отсылаются нефрагментированными.

Если от партнёра не получен ответ, и принимается решение о перепосылке (ретрансмиссии) пакета, то проверяется:

      Активировано ли IKE-фрагментирование на локальном устройстве;

      Активировано ли IKE-фрагментирование на стороне партнёра. (Примечание: первый пакет сессии не может быть фрагментирован, поскольку нет сведений, активировано ли IKE-фрагментирование на стороне ответчика);

      Превышает ли размер перепосылаемого пакета значение, вычисленное из заданной величины FragmentSize с учётом всех возможных дополнительных заголовков.

В случае выполнения всех условий перепосылаемый IKE-пакет разбивается на блоки. Максимально возможное количество блоков не превышает 255 фрагментов.

Минимально возможная результирующая длина фрагмента с UDP-заголовком – 304 байта.

Если условия не выполнены, то ретрансмиссия отсылается без фрагментирования.