|
|
(+ kilka słów o VXLAN i EVPN)
|
|
|
|
|
Cześć i czołem 👋
Udanej NSSletterowej środy!
Poniżej znajdziesz najnowsze treści dla sieciowców głodnych wiedzy.
|
|
|
|
Extended ping vs IPv4 PMTU
|
|
|
|
W artykule na łamach “Na Styku Sieci” wzięliśmy pod lupę MTU oraz MSS. Możesz się z niego dowiedzieć co to jest MSS oraz czym różni się L2 MTU od IP MTU. Tutaj pokażemy Ci jakie są proste metody na sprawdzenie MTU.
Extended ping
Najprostszym sposobem na sprawdzenie MTU jest użycie polecenia ping. Tym razem nie w standardowej wersji, a w wersji extended. Zobaczmy jak wygląda to na routerze (wprowadzone parametry zostały pogrubione):
|
|
|
|
Router#ping
Protocol [ip]:
Target IP address: 192.168.1.1
Repeat count [5]: 1
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]: y
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]: v Sweep range of sizes [n]: y
Sweep min size [36]: 1495
Sweep max size [18024]: 1505
Sweep interval [1]: 1
Type escape sequence to abort.
Sending 11, [1495..1505]-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
Packet sent with the DF bit set
Reply to request 0 (9 ms) (size 1495)
Reply to request 1 (6 ms) (size 1496)
Reply to request 2 (6 ms) (size 1497)
Reply to request 3 (11 ms) (size 1498)
Reply to request 4 (6 ms) (size 1499)
Reply to request 5 (7 ms) (size 1500)
Request 6 timed out (size 1501)
Request 7 timed out (size 1502)
Request 8 timed out (size 1503)
Request 9 timed out (size 1504)
Request 10 timed out (size 1505)
Success rate is 54 percent (6/11), round-trip min/avg/max = 6/7/11 ms
|
|
|
|
|
Aby użyć extended ping wystarczy na urządzeniu wpisać samą komendę ping, a następnie wybrać dodatkowe opcje. Wciśnięcie enter zatwierdzi domyślną wartość określoną w nawiasie.
Sprawdzenie MTU umożliwi użycie w poleceniu opcji Set DF bit in IP header, dzięki czemu pakiet zostanie przesłany bez fragmentacji (DF - Don’t Fragment). Ponadto ustawiamy opcję Verbose, dzięki której będziemy dokładnie wiedzieć, w którym momencie pakiet został odrzucony, oraz Sweep range of sizes, który pozwoli zmienić wielkość każdego przesyłanego pakietu.
Jak widać w przykładzie, router przepuścił pakiety o maksymalnym rozmiarze 1500 bajtów.
IPv4 PMTU
PMTU, czyli Path Maximum Transmission Unit to mechanizm wykorzystywany przez hosty, którego celem jest wykrycie najmniejszego MTU na ścieżce między dwoma hostami.
Większość hostów wspiera ten mechanizm, a działa on następująco: host w wysyłanym pakiecie IP ustawia flagę DF (Don't Fragment) - w rezultacie jeśli dany router nie jest w stanie przekazać pakietu (ze względu na zbyt niskie MTU) to odrzuca pakiet i udziela hostowi informacji zwrotnej w postaci ICMP typu 3 z kodem 4 (fragmentation needed but DF bit set). Informacja ta zwiera ponadto skonfigurowane na routerze MTU.
Dzięki temu host może dokonać retransmisji odrzuconego pakietu, dostosowując się do MTU. Otrzymywanie komunikatów "MTU exceeded" jest niezbędne do prawidłowego działania PMTU, ważne więc aby ich nie blokować.
|
|
|
|
VXLAN i EVPN pod lupą
Próbujesz zrozumieć działanie VXLAN oraz EVPN? Polecamy świetny wpis, w którym zajrzysz w nagłówki obu tych protokołów i prześledzisz cały łańcuch decyzyjny od punktu A, do punktu B.
|
|
|
|
|
Segmentacja sieci jako mechanizm bezpieczeństwa
Ataki na dane są powszechne i dobra konfiguracja sieci odgrywa kluczową rolę w ich powstrzymaniu. Stosowanie zasady "Zero trust" zwiększa bezpieczeństwo, ale to nie wszystko. Warto rozważyć segmentację jako skuteczną metodę ochrony przed atakami.
|
|
|
|
|
Chcesz podzielić się z kimś tym wydaniem NSSlettera?
Wystarczy, że skopiujesz i wkleisz link poniżej:
|
|
|
|
Do zobaczenia za tydzień 👋
Pozdrawiam,
Damian Michalak
|
|
|
|
|
