MTU

[sub_zero]

Přátelé, řeším nyní problém s MTU. Z hlavního routeru mi neprojdou packety větší než 1500B.
Zapojení: ISP box -> switch -> náš router, vše Gbit, RJ45. Na switchi jsou povolený jumbo packety do 9014B, náš router ukazuje rovněž L2MTU 9014, ale pokud si pingnu na seznam a dám např 1500B a víc, timeout.
Nutno podotknout, že pokud si pingnu z venku přímo na IP adresu toho portu ISP routeru, který jde k nám, tak projdou např. i 30kB pingy. Kde hledat problém?

[ludvik]

To, že si pingneš 30kB ještě nemusí nic znamenat ... pokud nemáš nastavený příznak Don't fragment. Osobně bych to tipoval, že ti něco filtruje ICMP pakety Fragmentation Needed.

[sub_zero]

Co mi může filtrovat ICMP, když nemám na inputu žádný pravidlo? Když to samý (např: ping http://www.seznam.cz size=3000) zkusím z jiné linky, projde to. Mám podezření na nastavení toho Cisca od ISP, pač když sem se zkusil notebookem připojit přímo do jeho portu (mimo náš router), taky to nechodí. Je jasný, že když si za ping dám atribut -f, tak mi větší, než cca 1350B neprojdou.

[ludvik]

Pokud ti projde velikost 1472 se zákazem fragmentace a 1473 už ne, tak je to co říkám. Ale neříkám, že to filtruješ ty.

[sub_zero]

Pokud ti projde velikost 1472 se zákazem fragmentace a 1473 už ne, tak je to co říkám. Ale neříkám, že to filtruješ ty.

Ano, přesně. 1472 projde, 1473 už ne. Takže bombardovat carriera? On dnes kontroloval přenosovku a výsledek:

Kód: Vybrat vše

EA1#sh run int TenGigE0/0/1/0 | inc mtu
mtu 9194
STA#sh run int Te1/3 | inc mtu
mtu 9216
STA#sh run int Gi3/2 | inc mtu
mtu 9216
SW25#sh run int Gi1/3 | inc mtu
mtu 9198
SW25#sh run int Gi3/6 | inc mtu
mtu 9198

CPE#sh ip cache flow
IP packet size distribution (84757M total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .469 .042 .228 .078 .006 .006 .002 .001 .001 .001 .001 .001 .001 .001

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.001 .002 .001 .009 .141 .000 .000 .000 .000 .000 .000

Kde je jasně vidět, že velikost nad 1536 přes to jeho koncový Cisco neprochází. Ovšem napsal, že nemůže vědět, zda to jsme schopni posílat my. Tak hledám, jak ho ubít argumentama

[ludvik]

A 1473 bez zákazu fragmentace ti projde? Ono je to trochu divný, prostě nad 1473 musí fragmentovat ... při MTU 1500. Ale už mi to dnes moc nemyslí.

[sub_zero]

Takhle, z toho hlavního Mikrotiku mi projde max 1500. A pokud za ten Mikrotik připojím notebook, projde mi max 1472 s fragmentací. To samý, když ten notebook připojím přímo do toho Cisca, taky max 1472 s fragmentací.

[hapi]

teď jsem to zkoušel. Bez fragmentace mi projde přesně max 1500byte ICMP. 1501 už ne. Takhle by to mělo asi vypadat co?

[sub_zero]

jo, problém je ten, že u mě neprojde s fragmentací víc než 1472

[ludvik]

1472 je max. velikost paketu (ICMP) pro MTU 1500 který ještě nemusí být fragmentován. Cokoliv víc prostě už musí. A neříkejte mi, že máte všude nastavené MTU >1500. Běžné to není. Takže pokud někde neprochází větší paket, něco žere zprávy Fragmentation Needed. Mimochodem, za takové routery bych dával vyznamenání před nastoupenou jednotkou. A to ne s vlajkou, ale s puškami.

[sub_zero]

právě že jsme měli všude 1500 a teď jsem na test nastavil i jumbo 9014, ale to nepomohlo. Pokud NEMÁM na inputu/outputu žádný pravidlo, co by operovalo s fragmentací a neprojde mi víc než 1500 fragmentovaně, hledat teda problém dál po trase?

[hapi]

1472 je max. velikost paketu (ICMP) pro MTU 1500 který ještě nemusí být fragmentován. Cokoliv víc prostě už musí. A neříkejte mi, že máte všude nastavené MTU >1500. Běžné to není. Takže pokud někde neprochází větší paket, něco žere zprávy Fragmentation Needed. Mimochodem, za takové routery bych dával vyznamenání před nastoupenou jednotkou. A to ne s vlajkou, ale s puškami.

tohle nechápu. Celej paket bez L1 i L2 může mít přece max 1500 což je MTU (L3) ne? Tak kde bereš těch 1472? I kdyby 1472+hlavička tak hlavička v ICMP má přece 32 bajtů... nicméně u pingu se zadává velikost celého IP rámce ne? Takže pokud zadá nefragmentovat 1500 tak mu to musí projít.

Nemáš v mangle nějaký zatoulaný pravidlo na zmenšení MTU? typicky se tam samo doplňuje při použivání tunelů atd..

[sub_zero]

.

[hapi]

VLAN taguje MTU takže se neplete do MTU a nemůže ho zkrátit. I tak tam musí projít plnej 1500byte ICMP ať to 2x ovlanuješ a vomplsuješ. Nabejvá to nad to, ne že to zkracuje a úmyslně fragmentuje.

[ludvik]

Piju Koucoura a Medley's ... ale IP hlavička nemá 32 bitů. To má jedna IP adresa. A každý paket má dvě.