MTU

zero

Přátelé, řeším nyní problém s MTU. Z hlavního routeru mi neprojdou packety větší než 1500B.

Zapojení: ISP box -> switch -> náš router, vše Gbit, RJ45. Na switchi jsou povolený jumbo packety do 9014B, náš router ukazuje rovněž L2MTU 9014, ale pokud si pingnu na seznam a dám např 1500B a víc, timeout.

Nutno podotknout, že pokud si pingnu z venku přímo na IP adresu toho portu ISP routeru, který jde k nám, tak projdou např. i 30kB pingy. Kde hledat problém?

ludvik

To, že si pingneš 30kB ještě nemusí nic znamenat ... pokud nemáš nastavený příznak Don't fragment. Osobně bych to tipoval, že ti něco filtruje ICMP pakety Fragmentation Needed.

zero

Co mi může filtrovat ICMP, když nemám na inputu žádný pravidlo? Když to samý (např: ping http://www.seznam.cz size=3000) zkusím z jiné linky, projde to. Mám podezření na nastavení toho Cisca od ISP, pač když sem se zkusil notebookem připojit přímo do jeho portu (mimo náš router), taky to nechodí. Je jasný, že když si za ping dám atribut -f, tak mi větší, než cca 1350B neprojdou.

ludvik

Pokud ti projde velikost 1472 se zákazem fragmentace a 1473 už ne, tak je to co říkám. Ale neříkám, že to filtruješ ty.

zero

Pokud ti projde velikost 1472 se zákazem fragmentace a 1473 už ne, tak je to co říkám. Ale neříkám, že to filtruješ ty.

Ano, přesně. 1472 projde, 1473 už ne. Takže bombardovat carriera? On dnes kontroloval přenosovku a výsledek:

EA1#sh run int TenGigE0/0/1/0 | inc mtu

mtu 9194

STA#sh run int Te1/3 | inc mtu

mtu 9216

STA#sh run int Gi3/2 | inc mtu

mtu 9216

SW25#sh run int Gi1/3 | inc mtu

mtu 9198

SW25#sh run int Gi3/6 | inc mtu

mtu 9198

CPE#sh ip cache flow

IP packet size distribution (84757M total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480

.000 .469 .042 .228 .078 .006 .006 .002 .001 .001 .001 .001 .001 .001 .001

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.001 .002 .001 .009 .141 .000 .000 .000 .000 .000 .000

Kde je jasně vidět, že velikost nad 1536 přes to jeho koncový Cisco neprochází. Ovšem napsal, že nemůže vědět, zda to jsme schopni posílat my. Tak hledám, jak ho ubít argumentama :)

ludvik

A 1473 bez zákazu fragmentace ti projde? Ono je to trochu divný, prostě nad 1473 musí fragmentovat ... při MTU 1500. Ale už mi to dnes moc nemyslí.

zero

Takhle, z toho hlavního Mikrotiku mi projde max 1500. A pokud za ten Mikrotik připojím notebook, projde mi max 1472 s fragmentací. To samý, když ten notebook připojím přímo do toho Cisca, taky max 1472 s fragmentací.

hapi

teď jsem to zkoušel. Bez fragmentace mi projde přesně max 1500byte ICMP. 1501 už ne. Takhle by to mělo asi vypadat co?

zero

jo, problém je ten, že u mě neprojde s fragmentací víc než 1472

ludvik

1472 je max. velikost paketu (ICMP) pro MTU 1500 který ještě nemusí být fragmentován. Cokoliv víc prostě už musí. A neříkejte mi, že máte všude nastavené MTU >1500. Běžné to není. Takže pokud někde neprochází větší paket, něco žere zprávy Fragmentation Needed. Mimochodem, za takové routery bych dával vyznamenání před nastoupenou jednotkou. A to ne s vlajkou, ale s puškami.

zero

právě že jsme měli všude 1500 a teď jsem na test nastavil i jumbo 9014, ale to nepomohlo. Pokud NEMÁM na inputu/outputu žádný pravidlo, co by operovalo s fragmentací a neprojde mi víc než 1500 fragmentovaně, hledat teda problém dál po trase?

hapi

1472 je max. velikost paketu (ICMP) pro MTU 1500 který ještě nemusí být fragmentován. Cokoliv víc prostě už musí. A neříkejte mi, že máte všude nastavené MTU >1500. Běžné to není. Takže pokud někde neprochází větší paket, něco žere zprávy Fragmentation Needed. Mimochodem, za takové routery bych dával vyznamenání před nastoupenou jednotkou. A to ne s vlajkou, ale s puškami.

tohle nechápu. Celej paket bez L1 i L2 může mít přece max 1500 což je MTU (L3) ne? Tak kde bereš těch 1472? I kdyby 1472+hlavička tak hlavička v ICMP má přece 32 bajtů... nicméně u pingu se zadává velikost celého IP rámce ne? Takže pokud zadá nefragmentovat 1500 tak mu to musí projít.

Nemáš v mangle nějaký zatoulaný pravidlo na zmenšení MTU? typicky se tam samo doplňuje při použivání tunelů atd..

zero

hapi

VLAN taguje MTU takže se neplete do MTU a nemůže ho zkrátit. I tak tam musí projít plnej 1500byte ICMP ať to 2x ovlanuješ a vomplsuješ. Nabejvá to nad to, ne že to zkracuje a úmyslně fragmentuje.

ludvik

Piju Koucoura a Medley's ... ale IP hlavička nemá 32 bitů. To má jedna IP adresa. A každý paket má dvě.

zero

No jo... to opravím.. já sem na to šel matematicky (po Tullamorce) :

hapi

teď jsem si něco vyzkoušel... nejde náhodou o to jestli jeden software (windows ping) do nastavený velikosti paketu bere údaj bez hlavičky a druhej software (mikrotik ping) bere velikost s hlavičkou? Protože když dám ve woknech nefragmentovat a -l 1500 tak neprojde. Proženu to wiresharkem.

zero

teď jsem si něco vyzkoušel... nejde náhodou o to jestli jeden software (windows ping) do velikosti paketu bere bez hlavičky a druhej software (mikrotik ping) bere velikost s hlavičkou? Protože když dám ve woknech nefragmentovat a -l 1500 tak neprojde. Proženu to wiresharkem.

to jo, mě se to chová úplně stejně. Ale řeším to, proč mi nejde nic nad 1500 fragmentovaný. Ty když si pingneš z widlý třeba na seznam.cz a dáš -l 3000 tak Ti projde, ne?

hapi

jo, to mi běží. Projde mi fragmentovaně i 30000

zero

no, o tom mluvím.. mě nic nad 1472 z woken a 1500 z MK

Další stránka »