المقدمة

يوضح هذا المستند الكيفية التي قد تؤثر بها مشاكل الحد الأقصى لوحدة الإرسال (MTU) على التجزئة الجزئية في SDA عند إستخدام SD-WAN لتوصيل مواقع SDA. 

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الوصول المعرف ببرنامج Cisco (SDA)
• شبكات المنطقة الواسعة المحددة في برنامج Cisco (SD-WAN)
• محرك خدمات الهوية من Cisco (ISE)

المكونات المستخدمة:

تستند المعلومات الواردة في هذا المستند إلى SDA و SDWAN و ISE.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر. 

معلومات أساسية

وتعمل شبكات المؤسسات الحديثة بشكل متزايد على الاستفادة من إتفاقية عدم التمييز لأغراض التجزئة الجزئية الدقيقة الدقيقة الدقيقة والتنفيذ المتسق للسياسات. لتوصيل مواقع SDA الموزعة، غالبا ما يتم توظيف SD-WAN من Cisco، مما يوفر وسيلة نقل سريعة وآمنة ومحسنة عبر شبكات أساسية متنوعة. ونظرا لأهمية هذه البنية، توفر ISE خدمات المصادقة والتفويض والمحاسبة (AAA) الهامة، إلى جانب التوزيع الديناميكي للسياسات (على سبيل المثال، علامات مجموعة الأمان (SGT) وقوائم التحكم في الوصول (ACL) القابلة للتنزيل).

وعلى الرغم من قوتها، إلا أن دمج هذه التقنيات الفعالة يمكن أن يؤدي إلى تحديات تكوين دقيقة ولكنها مؤثرة. إن التعامل مع وحدة الحد الأقصى للنقل (MTU) عند نقاط نقل الشبكة الحرجة وعبر تغشية شبكة SD-WAN هو مجال رئيسي لمثل هذه المشاكل. تتناول هذه المقالة سيناريوهين شائعين لعدم تطابق وحدة الحد الأقصى للنقل (MTU) يمكنهما تعطيل عمليات الشبكة:

1. فجوة وحدة الحد الأقصى للنقل (MTU) بين العقد الحدودية لبروتوكول SDA وأجهزة حافة شبكة SD-WAN.
2. قيود وحدة الحد الأقصى للنقل (MTU) لحركة مرور البيانات التي تم إنشاؤها بواسطة ISE لاجتياز تغشية شبكة WAN الخاصة بشبكة SD.

تعد محاذاة وحدة الحد الأقصى للنقل (MTU) بشكل صحيح أمرا بالغ الأهمية لمنع مشكلات تجزئة الحزمة أو عمليات الإسقاط الصامتة، مما يضمن المصادقة الموثوقة وتنفيذ السياسات وتحقيق إستقرار الشبكة بشكل عام. وقد يؤدي الفشل في معالجة هذه المشكلات إلى إرباك الاتصال المتقطع وإخفاقات تطبيق السياسات، مما يستهلك جهدا كبيرا في أستكشاف المشكلات وحلها.

الأعراض الشائعة لوحدة الحد الأقصى للنقل (MTU)

يمكن أن تظهر وحدة الحد الأقصى للنقل (MTU) المحاذية بطرق مختلفة، مما يؤدي في كثير من الأحيان إلى مسائل يصعب تشخيصها:

• حالات فشل مصادقة RADIUS المتقطعة أو حالات انتهاء المهلة: كما يمكن ملاحظته بشكل خاص للسياسات التي تولد حزم RADIUS أكبر (على سبيل المثال، تلك التي تحتوي على أزواج AV أو شهادات واسعة).

• نقاط النهاية التي تفشل في إستلام قوائم التحكم في الوصول (ACL) القابلة للتنزيل (dACLs) أو سياسات TrustSec (SGTs/SGACLs) أو تطبيقها: وغالبا ما يتم نقل هذه السياسات في حزم RADIUS الكبيرة.

• إنشاء جلسة عمل بطيئة للعملاء المصدق عليهم: بسبب عمليات إعادة الإرسال على طبقة التطبيقات.

• عمليات إعادة الإرسال الفائقة عبر بروتوكول RADIUS: قابل للملاحظة في سجلات ISE أو على أجهزة الوصول إلى الشبكة (NAD).

• نشر النهج غير المتسق: قد لا يتم نشر تغييرات السياسة التي تم إجراؤها في ISE بشكل ثابت إلى جميع NADs في مواقع SDA البعيدة.

• تناقضات التقاط الحزمة: يمكن أن تظهر الالتقاط ISE وهي ترسل حزم كبيرة (على سبيل المثال، >1450 بايت) مع مجموعة بت عدم تجزئة (DF)، ولكن لا توجد إستجابة مطابقة أو خطأ "التجزئة المطلوبة" ل ICMP من موجه NAD أو SD-WAN Cisco Edge.

• زيادة عدادات إسقاط الحزم: تمت ملاحظته على واجهة الدخول لمركز البيانات (DC) موجه Cisco Edge لحركة المرور التي يتم الحصول عليها من ISE الموجهة لمواقع SDA، أو على واجهة موجه Cisco Edge SD-WAN التي تواجه حدود SDA لحركة المرور في الإتجاه العكسي.

وصف المشكلة

عملية نشر نموذجية للمؤسسات
ولنتأمل هنا أحد طوبولوجيا المؤسسات الشائعة:

• خوادم Cisco ISE: يتم النشر في مركز بيانات مركزي (DC) أو محاور إقليمية، متصلة بالبنية الأساسية لشبكة DC.

• البنية الأساسية للتيار المستمر: يتضمن محولات DC الأساسية أو محولات التجميع التي تتصل بها خوادم ISE.

• تضمين شبكة WAN المعرفة عن طريق البرامج: تقوم موجهات DC Edge من Cisco بإنشاء أنفاق SD-WAN (عادة IPsec) عبر شبكة نقل أساسية (على سبيل المثال، Internet، MPLS) إلى موجهات Cisco Edge في مواقع SDA البعيدة.

• موقع SDA: تتصل موجهات Cisco Edge في المواقع البعيدة ببنية SDA المحلية، والتي تتضمن عقد حافة البنية وعقد الحدود ووحدات التحكم في الشبكة المحلية (WLCs) اللاسلكية، ونقاط النهاية في نهاية المطاف.

طوبولوجيا توضيحية

التحدي 1: فجوة MTU - حد SDA لحواف SD-WAN

مبادئ تصميم SDA من Cisco، التي غالبا ما يتم تطبيقها من خلال التشغيل التلقائي للشبكة المحلية (LAN)، وتعزيز وحدة الحد الأقصى للنقل (MTU) على مستوى المجمع بسعة 9100 بايت (إطارات ضخمة) على جميع أجهزة البنية. ويتضمن ذلك العقد الحدودية من السلسلة Catalyst 9000 ويضمن نقل إطارات Ethernet jumbo بكفاءة داخل البنية. ونتيجة لذلك، يتم تعيين واجهة توصيل الطبقة 3 أو SVI على عقدة حدود SDA افتراضيا إلى وحدة الحد الأقصى للنقل (MTU) الأكبر هذه.

على العكس، فإن أجهزة حافة SD-WAN، مثل سلسلة Catalyst 8000، تكون عادة افتراضية إلى وحدة الحد الأقصى للنقل (MTU) للواجهة بقيمة 1500 بايت. وهذا قياسي للواجهات المتصلة بالشبكات الخارجية مثل موفري خدمة الإنترنت (ISPs)، حيث يكون دعم الإطارات كبيرة الحجم غير شائع أو غير ممكن.

ويخلق هذا التفاوت نقطة مباشرة من الفشل المحتمل: حد SDA يحاول إرسال حزمة IP أكبر من 1500 بايت إلى حافة SD-WAN التي تم تكوين واجهة الاستلام لها لوحدة الحد الأقصى للنقل (MTU) ذات 1500 بايت.

هذا النوع من عدم تطابق وحدة الحد الأقصى للنقل (MTU) هو خطأ شائع في عمليات نشر SDA وغالبا ما يكون من السهل التغاضي عنه أثناء التكوين. وما يجعل هذا الأمر أكثر تحديا هو أن السلوكيات المحددة المتعلقة بكيفية إنشاء طلبات RADIUS على محولات Catalyst 9000 switches التي تشغل برنامج Cisco IOS-XE® يمكن أن تتسبب في ظهور هذه المشكلات فقط في ظروف محددة وحرجة.

على سبيل المثال، يتم ترميز طلبات RADIUS التي يتم إنشاؤها أثناء عملية مصادقة المستخدم النهائي والتي تتم معالجتها بواسطة عملية برنامج إدارة جلسات العمل (SMD)، ترميزا ثابتا لتجزئة الحزم بمقدار 1396 بايت. وعلى النقيض من ذلك، يتم إنشاء طلبات RADIUS المتعلقة باسترداد سياسات TrustSec، مثل قائمة التحكم في الوصول إلى مجموعة الأمان (SGACL)، بواسطة المكونات الفرعية لبرنامج Cisco Internetworking Operating System (IOSd). وهذه الوحدات متوافقة مع وحدة الحد الأقصى للنقل (MTU) ويمكنها تجنب تجزئة الحزم ما لم يتجاوز حجمها وحدة الحد الأقصى للنقل (MTU) للنظام (عادة ما يصل إلى 9100 بايت).

ونتيجة لذلك، تصبح المشاكل المتعلقة بعدم تطابق وحدة الحد الأقصى للنقل (MTU) واضحة فقط عندما تكون سياسات التنزيل من Cisco TrustSec (CTS) قيد الاستخدام. بالإضافة إلى ذلك، قد تختلف مجموعة قوائم التحكم في الوصول المستندة إلى الأدوار (RBACL) التي يتم تنزيلها بواسطة جهاز حافة SDA أثناء مصادقة المستخدم بناء على أي سياسات SGACL موجودة بالفعل لعلامات التمييز الأخرى. في الممارسة العملية، يقوم المحول بتنزيل الأجزاء غير المتداخلة فقط من مجموعات السياسات.

ومعا، من الممكن أن تؤدي هذه السلوكيات إلى نتائج غير متوقعة وغير متناسقة، تتراوح بين الإخفاقات الصامتة إلى التنزيلات غير المكتملة للسياسات، اعتمادا على حجم سياسة قائمة التحكم في الوصول إلى البنية الأساسية (SGACL)، وظروف النظام الحالية، وفي نهاية المطاف، الاختلالات في إتفاق وحدة الحد الأقصى للنقل (MTU) على المسار.

تقوم حدود SDA بإعادة توجيه حزمة RADIUS كبيرة (على سبيل المثال، 1600 بايت) نحو ISE عبر حافة SD-WAN، وهذا ما يحدث:

يؤدي هذا السقوط الصامت إلى حدوث نوبات صداع خطيرة تتعلق باستكشاف المشكلات وإصلاحها، لا سيما وأن المشكلة تتعلق بالإتجاه (SDA إلى SD-WAN/ISE).

يمكن أن يحدث عدم تطابق مماثل في وحدة الحد الأقصى للنقل (MTU) في محولات مركز البيانات الأساسية أو الطرفية، والتي يتم تكوينها عادة لدعم الإطارات كبيرة الحجم (على سبيل المثال، MTU 9000+) لتحسين كفاءة حركة مرور البيانات الداخلية. ومع ذلك، إذا تم تسليم حركة المرور إلى واجهة شبكة LAN الخاصة بموجه SD-WAN Edge Router الذي تم تكوينه باستخدام وحدة الحد الأقصى للنقل (MTU) القياسية (على سبيل المثال، 1500 بايت)، فقد يؤدي عدم التطابق هذا إلى التجزئة أو عمليات إسقاط الحزم، وخاصة لحركة المرور المتدفقة من شبكة DC إلى بنية SD-WAN.

حل للتحدي 1:

قم بمحاذاة وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على واجهة توصيل حدود SDA (المادية أو SVI) مع واجهة SD-WAN Cisco Edge Router، عادة 1500 بايت.

مثال التكوين (على عقدة حد SDA):

!
interface Vlan3000  // Or your physical handoff interface, for example, TenGigabitEthernet1/0/1
 description Link to SD-WAN cEdge Router
 ip address 192.168.100.1 255.255.255.252
 ip mtu 1500  // Align with SD-WAN cEdge receiving interface MTU
!

مهما، هو مهم أن يلاحظ أن مادة حفازة 9000 مفتاح بشكل عام لا يساند تجزئة VXLAN يغلف حركة مرور. يعد هذا التحديد أمرا بالغ الأهمية لحركة المرور غير أنه لا يؤثر على سيناريو مصادقة RADIUS الموصوف، حيث يحدث اتصال RADIUS بين حدود SDA و ISE الخارجي عادة داخل القاعدة (توجيه IP الأصلي). (اعتبارات الحد الأقصى للنقل (MTU) لتغشيات شبكة VXLAN هي موضوع منفصل ومعقد، مفصل في أدلة تصميم SDA ذات الصلة من Cisco).

المحاذاة الاستباقية لوحدة الحد الأقصى للنقل (MTU) في حدود بطاقة SDA إلى نقل موجه حافة SD-WAN من Cisco أمر ضروري.

التحدي 2: ضغط وحدة الحد الأقصى للنقل (MTU) - حركة مرور بيانات وحدة التخزين (ISE) عبر تغشية شبكة SD-WAN

حتى إذا تم تعيين الواجهات المادية الفردية، مثل بطاقة واجهة شبكة ISE (NIC)، أو منافذ المحول، أو واجهات الموجه على وحدة الحد الأقصى للنقل (MTU) لبروتوكول IP سعة 1500 بايت قياسية، فإن تغشية SD-WAN نفسها تقدم عمليات التضمين العامة. وتستهلك هذه النفقات الإضافية جزءا من الحد البالغ 1500 بايت، مما يقلل عدد وحدات الحد الأقصى للنقل (MTU) الفعال المتوفر لحزمة IP الأصلية ("الحمولة" من منظور ISE).

حمولة هيكل الحزمة وتغليف:

عندما يتم إرسال حزمة IP من خادم ISE (على سبيل المثال، حزمة قبول الوصول إلى RADIUS) إلى جهاز الوصول إلى الشبكة (NAD) في موقع SDA، فإنها تجتاز تغشية SD-WAN وتتم تغليفها. يتضمن مكدس التضمين الشائع IPsec في وضع النفق، ربما عبر UDP لمرور NAT (NAT-T).

• الحزمة الأصلية من ISE (الحزمة الداخلية):
  على سبيل المثال، حزمة RADIUS ذات حمولة من 1450 بايت + بروتوكول UDP سعة 8 بايت + بروتوكول IP داخلي سعة 20 بايت = 1478 بايت.

• ضع في الاعتبار IPsec ESP في وضع النفق، ربما مع تضمين UDP ل NAT-T:

• يمكن أن يختلف إجمالي التكاليف بناء على شفرات IPsec المحددة وآليات المصادقة وميزات التغشية الأخرى (مثل GRE إذا تم إستخدامها). حساب نموذجي:

  • رأس IP الخارجي (IPv4): 20 بايت

  • رأس UDP (إذا كان ESP عبر UDP ل NAT-T): 8 بايت

  • عنوان ESP: ~8 بايت

  • ESP IV (على سبيل المثال، ل AES-CBC): ~16 بايت (إذا كان ذلك ممكنا)

  • مصادقة ESP (على سبيل المثال، تم اقتطاع HMAC-SHA256): ~12-16 بايت

  • مصروفات IPsec المقدرة الشائعة: ~52-70 بايت (يمكن أن تكون أعلى، ما يصل إلى 80 بايت تقريبا أو أكثر باستخدام جميع الخيارات).

إذا كانت وحدة الحد الأقصى للنقل (MTU) الخاصة بالارتباط الفعلي 1500 بايت، تصبح وحدة الحد الأقصى للنقل (MTU) المتوفرة لحزمة IP الأصلية من ISE: 1500 بايت - مصروفات عامة عبر شبكة WAN الخاصة بشبكة SD.
على سبيل المثال، 1500 - 70 = 1430 بايت.

السلوك عند تجاوز الحزم MTU الفعالة:

1. يقوم ISE بإنشاء حزمة (حدث DF Bit Anomaly):
   • بشكل افتراضي، يقوم نظام تشغيل Linux الأساسي الخاص بجهاز ISE بتعيين Do Not Fragment (DF) بين رأس IP لجميع الحزم التي تنشأ أصغر من أو تساوي الواجهة التي تم تكوينها IP MTU (على سبيل المثال، 1500 بايت).
   • الغرض من هذا بت DF: يعمل ISE (من خلال نظام التشغيل الخاص به) بشكل استباقي على تعيين بت DF في المقام الأول لتحسين عملية اكتشاف MTU للمسار (PMTUD)، والتي يتم وصفها لاحقا. وهذا يسمح ل ISE بتعلم PMTU الفعلية ديناميكيا إلى وجهة إذا كانت أصغر من MTU الخاص بالواجهة الخاصة بها.
   • سلوك الحزم الأكبر من MTU للواجهة: إذا أحتاج ISE إلى إرسال حزمة IP تتجاوز الواجهة المكونة له IP MTU، فإن السلوك يعتمد على نظام التشغيل Linux الخاص به. نموذجيا، يقوم OS بتجزئة الربط المسبق ومسح بت DF (إعداد DF=0) على تلك الأجزاء الناتجة. هذا التجزئة عبارة عن وظيفة على مستوى نظام التشغيل، لا يتم توجيهها مباشرة بواسطة رمز تطبيق ISE نفسه.
   • تمييز مفتاح من أجهزة الشبكة: يختلف هذا السلوك الافتراضي ل ISE (إعداد DF=1 حتى للحزم غير المجزأة الملائمة داخل وحدة الحد الأقصى للنقل (MTU) الخاصة بالواجهة الخاصة به بشكل ملحوظ عن العديد من أجهزة الشبكة التقليدية (الموجهات، المحولات). غالبا ما تقوم أجهزة الشبكة بتعيين وحدة بت DF على الحزم التي تنشئها أو ترسلها إلا إذا تم تكوينها بشكل صريح للقيام بذلك، أو إذا كانت الحزمة التي تتم إعادة توجيهها تحتوي بالفعل على مجموعة بت DF، أو لبروتوكولات معينة تشترطها. إنها تسمح بالتجزئة بشكل افتراضي إذا كانت الحزمة تتجاوز MTU الخطوة التالية (و DF=0).
   • يتحرى تعقيد:هذا عدم التناسق، حيث ISE إلى NAD حركة مرور غالبا ما يكون لها DF=1 افتراضيا، بينما حركة مرور NAD إلى ISE يمكن أن يكون لها DF=0 (إلا إذا قام ال NAD بتعيينها لسبب ما)- يمكن أن يقدم طبقة إضافية من التعقيد أثناء أستكشاف الأخطاء وإصلاحها. يمكن للمهندسين ملاحظة سلوكيات التجزئة المختلفة وتفاعلات PMTUD حسب إتجاه تدفق حركة المرور.
2. تصل الحزمة إلى موجه حافة Cisco (DC):يستلم موجه حافة DC من Cisco حزمة IP من ISE.
3. التضمين والتحقق من MTU بواسطة موجه Cisco Edge:يحاول موجه Cisco Edge تضمين الحزمة لنفق SD-WAN.
   • إذا تجاوزت الحزمة الأصلية قيمة عملية كبسلة SD-WAN الإضافية وحدة الحد الأقصى للنقل (MTU) للواجهة المادية الصادرة الخاصة بموجه Cisco Edge (على سبيل المثال، 1500 بايت)، وتم تعيين وحدة بت DF على الحزمة الأصلية (الداخلية) من ISE، فيجب ألا يعمل موجه الحافة من Cisco على تجزئة الحزمة الداخلية.
   • يجب أن يقوم موجه Cisco Edge بإسقاط الحزمة.
   • وبشكل حاسم، يجب أن يرسل موجه Cisco Edge أيضا رسالة ICMP "الوجهة التي يتعذر الوصول إليها - التجزئة المطلوبة ومجموعة بت DF" (النوع 3، الرمز 4) مرة أخرى إلى المصدر (ISE)، للإشارة إلى وحدة الحد الأقصى للنقل (MTU) للخطوة التالية (الوحدة النمطية للنقل (MTU) الفعالة للنفق).
4. عملية اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار (PMTUD): عند تلقي رسالة "التجزئة المطلوبة" هذه من ICMP، يجب أن يقوم ISE (مصدر نظام التشغيل) بتقليل تقدير PMTU الخاص به لمسار الوجهة المحدد. ومن شأنه تخزين هذه المعلومات مؤقتا وإعادة إرسال البيانات في حزم أصغر تناسب وحدة PMTU المكتشفة حديثا.

رسم تخطيطي لعملية PMTUD:

حيث ينهار اتصال PMTUD:
يعتبر "الحشد الشعبي" قويا من الناحية النظرية، لكنه يمكن أن يفشل من الناحية العملية:

• تصفية ICMP: غالبا ما تقوم جدران الحماية الوسيطة أو سياسات الأمان بحظر رسائل ICMP، مما يمنع رسالة "التجزئة المطلوبة" من الوصول إلى ISE.

• تنظيم مستوى التحكم (CoPP) على موجه Cisco Edge: تستخدم موجهات Cisco Edge Router CoPP لحماية وحدة المعالجة المركزية (CPU) الخاصة بها. إنشاء رسائل خطأ ICMP هي مهمة على مستوى التحكم. تحت الحمل الثقيل أو مع العديد من الحزم ذات الحجم الزائد، يمكن أن يقوم CoPP بتحديد المعدل أو إسقاط إنشاء ICMP. لا يتلقى ISE الملاحظات أبدا.

• حالات السقوط الصامت: إذا لم يستلم ISE رسالة ICMP "التجزئة المطلوبة"، فإنه يظل غير مدرك لتقييد المسار. ويستمر في إرسال حزم كبيرة باستخدام مجموعة بت DF، مما يؤدي إلى إسقاطها بصمت من خلال مدخل موجه حافة Cisco. يؤدي ذلك إلى حالات انتهاء المهلة وإعادة الإرسال على مستوى التطبيقات (على سبيل المثال RADIUS).

• التأثير على خدمات ISE: تكون الحزم الكبيرة القابلة للوصول إلى RADIUS (التي تحمل قوائم التحكم في الوصول إلى النقل (dACLs)، التلميحات واسعة النطاق (AVP)، معلومات الرقيب) حساسة بشكل خاص. تشمل المظاهر:

  • حالات فشل المصادقة المتقطعة أو الكاملة.

  • نقاط النهاية التي لا تتلقى سياسات الوصول إلى الشبكة أو برامج SGT الصحيحة.

  • مزامنة النهج غير كاملة أو فاشلة بين ISE و NADs.

حل للتحدي 2: التكوين الاستباقي ل ISE IP MTU

نظرا لعدم موثوقية PMTUD، يعد النهج الاستباقي هو الأفضل للخدمات الحيوية مثل ISE. قم بتكوين وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على واجهات شبكة ISE إلى قيمة تستوعب بشكل آمن الحد الأقصى المتوقع لتغشية شبكة SD-WAN. وهذا يضمن أن ISE لا ينشئ حزم IP (مع مجموعة بت DF) والتي تكون بطبيعتها كبيرة جدا لتجتاز تغشية SD-WAN بدون الحاجة إلى التجزئة بواسطة جهاز وسيط (والذي يتم حظره إذا DF=1).

حساب وإعداد وحدة الحد الأقصى للنقل (MTU) لبروتوكول ISE IP الموصى بها:

1. إنشاء وحدة الحد الأقصى للنقل (MTU) المادية الأساسية: بشكل نموذجي، يبلغ هذا الرقم 1500 بايت لواجهات شبكة إيثرنت القياسية على طول المسار.
2. تحديد الحد الأقصى من مصروفات تضمين SD-WAN:
   • قم بالحساب الدقيق أو التقدير المتحفظ لإجمالي النفقات العامة التي تم تقديمها بواسطة تغشية شبكة WAN المعرفة عن طريق SD (IPsec، GRE، VXLAN، MPLSoGRE، وما إلى ذلك). ارجع إلى وثائق الموردين للحصول على أرقام دقيقة حول البروتوكولات والخيارات التي إخترتها.

     المكون	مثال أعلى (بالبايت)	ملاحظات
     وحدة الحد الأقصى للنقل (MTU) المادية الأساسية	1500	إيثرنت قياسي على إرتباطات فعلية
     مطروحا منه: شبكة WAN المعرفة عن طريق البرامج الإضافية
     رأس IP الخارجي (IPv4)	20
     رأس UDP (ل NAT-T)	8	إذا تم تضمين ESP في UDP
     رأس ESP	~8-12
     ESP IV (على سبيل المثال، AES-CBC)	~16	يختلف مع خوارزمية التشفير
     مصادقة ESP (على سبيل المثال، SHA256)	~12-16	يختلف مع خوارزمية المصادقة (على سبيل المثال، 96-بت لبعض)
     تغشيات أخرى (GRE، وهكذا)	متغير	إضافة إذا كان جزءا من مكدس تضمين SD-WAN لديك
     مجموع النفقات العامة المقدرة	~68 - 80+ بايت	مجموع جميع المكونات ذات الصلة لعملية النشر الخاصة بك
     وحدة الحد الأقصى للنقل (MTU) للمسار الفعال	~1432 - 1420 بايت	وحدة الحد الأقصى للنقل (MTU) المادية الأساسية - إجمالي التكاليف المقدرة

3. تكوين ISE IP MTU الموصى به:
   • خذ وحدة الحد الأقصى للنقل (MTU) للمسار الفعال المحسوب (على سبيل المثال، 1420 بايت من المثال).
   • اطرح هامش أمان إضافي (على سبيل المثال، 20-70 بايت) لحساب رؤوس L2 الثانوية غير المحسوبة أو لتوفير مخزن مؤقت.
   • يمكن لحلول مثل Cisco SD-WAN إجراء اكتشاف MTU للمسار (PMTU) بشكل فردي لكل نفق من موقع إلى موقع. تعمل هذه الآلية تلقائيا كل 20 دقيقة لاختبار وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول الإنترنت (IP) الخاصة بالنفق وتعديلها ديناميكيا وفقا لظروف النقل الحالية في كل موقع. ونتيجة لذلك، يمكن أن تختلف قيم وحدات الحد الأقصى للنقل (MTU) بين المواقع ويمكن أن تتغير مع مرور الوقت.
   • تكون وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP الآمنة والموصى بها لواجهات ISE في مثل هذه السيناريوهات بين 1350 و 1400 بايت

غالبا ما تكون وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP التي تبلغ 1350 بايت نقطة بداية قوية للغاية

تكوين ISE (مثال من خلال CLI):

يتم تنفيذ هذا الأمر على واجهة سطر الأوامر (CLI) الخاصة بجهاز Cisco ISE لكل واجهة شبكة مناسبة.

!
interface GigabitEthernet0  ! Or the specific interface used for RADIUS/SDA communication
 ip mtu 1350
!

الاعتبارات التشغيلية الهامة لتغييرات ISE IP MTU:

• مطلوب إعادة تشغيل الخدمة: بمجرد تطبيق الأمر ip mtu على واجهة ISE، يطالب هذا المستخدم بإعادة تشغيل خدمات تطبيق ISE. هذا تغيير يؤثر على الخدمة ويجب جدولته أثناء إطار صيانة مخطط. راجع وثائق Cisco ISE الرسمية للحصول على تفاصيل الإجراءات.

• تطبيق على جميع عقد ISE: يجب تطبيق تعديل وحدة الحد الأقصى للنقل (MTU) لبروتوكول IP هذا بشكل ثابت على جميع عقد ISE في النشر (PAN الأساسية، PAN الثانوية، عقد خدمة السياسة (PSN)) التي تتصل بأجهزة NAD عبر شبكة SD-WAN. تؤدي إعدادات MTU غير المتناسقة إلى سلوك غير متوقع.

• فحص شامل: قبل التطبيق في الإنتاج، قم باختبار هذا التغيير بشكل دقيق في عملية نشر المختبر أو الطيار. أستخدم أدوات مثل إختبار الاتصال مع أحجام حزم متنوعة وتم ضبط DF-بت للتحقق من معالجة MTU من نهاية إلى نهاية:

  • الأنظمة التي تستند إلى نظام التشغيل Linux:  

ping  -s  -M do

(ملاحظة: - يحدد s حجم حمولة ICMP. إجمالي حجم حزمة IP = الحمولة + 8 محركات أقراص ثابتة ICMP + محرك أقراص ثابتة HDR لبروتوكول IPv4 سعة 20 بايت)

• • Windows:

ping  -f -l 

(ملاحظة: -l يحدد حجم حمولة ICMP.)

• • برنامج Cisco IOS/Cisco IOS-XE®

ping  size  df-bit

• نقطة التوجيه الأولى ل ISE - عند ضبط قيمة وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على واجهة ISE، تأكد من تكوين نقطة التوجيه الأولى في مركز البيانات - وخاصة واجهة الطبقة 3 المرتبطة بالشبكة الفرعية ISE - أيضا باستخدام قيمة وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP.
  وهذا يساعد على منع حدوث حالات مثل تلك الموضحة في Challenge 1، حيث يؤدي عدم تطابق وحدة الحد الأقصى للنقل (MTU) إلى قيام محرك خدمات الهوية (ISE) بمعاملة الحزم الواردة على أنها كبيرة الحجم وإفلاتها.
  على سبيل المثال، إذا كانت واجهة ISE تحتوي على وحدة الحد الأقصى للنقل (MTU) (على سبيل المثال، 1300)، ولكن تظل نقطة التوجيه الأولى مكونة باستخدام وحدة الحد الأقصى للنقل (MTU) الافتراضية التي تبلغ 1500، فإن الحزم المرسلة إلى ISE التي تكون أكبر من 1300 بايت ولكنها أصغر من 1500 بايت لا يتم تجزئتها ويتم التخلص منها بواسطة ISE — كما هو موضح في التحدي 1.
  بالإضافة إلى ذلك، تأكد من أن نقطة التوجيه الأولى قادرة على إجراء التجزئة إذا لزم الأمر، وأن القيام بذلك لا يؤدي إلى انخفاض الأداء.

• قم بتحديث وحدة الحد الأقصى للنقل (MTU) عبر مسار الإرسال بأكمله، وفي كلا الاتجاهين - عند تحديث إعدادات IP MTU على ISE، من المهم مراعاة وحدة الحد الأقصى للنقل (MTU) عبر مسار الإرسال بأكمله، وفي كلا الاتجاهين. إذا لم تتم محاذاة قيمة وحدة الحد الأقصى للنقل (MTU) التي تم تكوينها على ISE مع وحدة الحد الأقصى للنقل (MTU) على واجهة الطبقة 3 لبوابة الخطوة الأولى، فيمكن أن تنشأ مشاكل مماثلة كما هو موضح في التحدي #1.

  على سبيل المثال، إذا تم خفض سعة وحدة الحد الأقصى للنقل (MTU) الخاصة بالإصدار ISE إلى 1300 بايت بينما تظل وحدة الحد الأقصى للنقل (MTU) الافتراضية سعة 1500 بايت مكونة على البوابة الافتراضية، فيمكن إسقاط الحزم التي تتراوح من 1300 إلى 1500 بايت في الحجم، والتي يتم إنشاؤها بشكل شائع بواسطة أجهزة الشبكة، بواسطة نظام التشغيل ISE نظرا لتضخم حجمها.

  
  لتجنب هذه المشكلة، تأكد دائما من نسخ تغييرات وحدة الحد الأقصى للنقل (MTU) على ISE على بوابة الخطوة الأولى، وبشكل مثالي، عكسها على جميع الأجهزة المضيفة الطرفية داخل نفس مقطع الطبقة 3. ويساعد هذا على الحفاظ على تناسق وحدة الحد الأقصى للنقل (MTU) من نهاية إلى نهاية ومنع حالات إسقاط الحزم غير المتوقعة.

القرار

إن تنظيم إعدادات وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على خوادم Cisco ISE باستخدام الحدود الفعالة لوحدة الحد الأقصى للنقل (MTU) على طبقة النقل التي تفرضها عملية تضمين SD-WAN ومحاذاة وحدة الحد الأقصى للنقل (MTU) عند حدود SDA إلى نقل موجه Cisco Edge من SD-WAN ليس مجرد توصية بل متطلب أساسي لضمان إستقرار خدمات AAA وموثوقيتها وأدائها في شبكات المؤسسات الحديثة المجزأة. على الرغم من أن اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار عبارة عن آلية مهمة، إلا أنه يمكن عرقلة فعاليته العملية بواسطة عوامل مثل تصفية ICMP أو تنظيم مستوى التحكم في بيئات SD-WAN.

من خلال إجراء تكوين استباقي لوحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على محرك خدمات الهوية (على سبيل المثال، من 1350 إلى 1400 بايت)، يمكن لمهندسي الشبكة ومهندسيها تخفيف خطر حالات إسقاط الحزم المرتبطة بالوحدة متعددة المحطات (MTU) بشكل كبير، مما يؤدي إلى عمليات شبكة أكثر مرونة وقابلية للتنبؤ بها. وهذا أمر حيوي بشكل خاص في عمليات نشر تطبيق SDA من Cisco حيث يقوم ISE بتنسيق التجزئة الصغيرة المتطورة وتنفيذ السياسات الديناميكية، والتي غالبا ما تعتمد على التسليم الناجح لرسائل مستوى التحكم الكبيرة المحتملة. يعد التخطيط الجاد والاختبار الشامل والتكوين المتناسق عبر جميع عقد ISE عاملا أساسيا لنجاح عملية النشر وخلوها من المشكلات.

المعايير والمراجع

للحصول على فهم أعمق، راجع المعايير الرسمية ووثائق Cisco:

أدوات تحديد المعدل:

• المعيار RFC 1191: اكتشاف مسار وحدة الحد الأقصى للنقل (MTU)

• المعيار RFC 791: بروتوكول الإنترنت (IP) - يحدد رأس IP، بما في ذلك بت عدم التجزئة (DF).

• المعيار RFC 8200: مواصفات IPv6 (ذات صلة إذا تم إستخدام IPv6، وتتضمن مفاهيم PMTUD مماثلة).

• المعيار RFC 4459: مشاكل MTU والتجزئة مع الاتصال النفقي داخل الشبكة (VPN) - تعالج مباشرة مشاكل MTU الشائعة في بيئات VPN.

وثائق Cisco:

• أدلة النشر وتصميم SDA من Cisco: للحصول على معلومات حول توصيات وحدة الحد الأقصى للنقل (MTU) الليفية وتكوينات العقد الحدودية.

• أدلة التكوين وتصميم Cisco SD-WAN: للحصول على تفاصيل حول التكاليف العامة لعملية التضمين، وحدة الحد الأقصى للنقل (MTU) لواجهة النفق، واعتبارات PMTUD داخل بنية SD-WAN.

• أدلة تكوين المحول Cisco Catalyst 9000 Series: للحصول على تفاصيل خاصة بالنظام الأساسي حول إعدادات وحدة الحد الأقصى للنقل (MTU) وإمكانات التجزئة.

• مدير محرك خدمات الهوية من Cisco وأدلة واجهة سطر الأوامر: للحصول على معلومات حول تكوين الواجهة، بما في ذلك تأثيرات إعادة تشغيل الخدمة وأمر ip mtu.