تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند الكيفية التي قد تؤثر بها مشاكل الحد الأقصى لوحدة الإرسال (MTU) على التجزئة الجزئية في SDA عند إستخدام SD-WAN لتوصيل مواقع SDA.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى SDA و SDWAN و ISE.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
وتعمل شبكات المؤسسات الحديثة بشكل متزايد على الاستفادة من إتفاقية عدم التمييز لأغراض التجزئة الجزئية الدقيقة الدقيقة الدقيقة والتنفيذ المتسق للسياسات. لتوصيل مواقع SDA الموزعة، غالبا ما يتم توظيف SD-WAN من Cisco، مما يوفر وسيلة نقل سريعة وآمنة ومحسنة عبر شبكات أساسية متنوعة. ونظرا لأهمية هذه البنية، توفر ISE خدمات المصادقة والتفويض والمحاسبة (AAA) الهامة، إلى جانب التوزيع الديناميكي للسياسات (على سبيل المثال، علامات مجموعة الأمان (SGT) وقوائم التحكم في الوصول (ACL) القابلة للتنزيل).
وعلى الرغم من قوتها، إلا أن دمج هذه التقنيات الفعالة يمكن أن يؤدي إلى تحديات تكوين دقيقة ولكنها مؤثرة. إن التعامل مع وحدة الحد الأقصى للنقل (MTU) عند نقاط نقل الشبكة الحرجة وعبر تغشية شبكة SD-WAN هو مجال رئيسي لمثل هذه المشاكل. تتناول هذه المقالة سيناريوهين شائعين لعدم تطابق وحدة الحد الأقصى للنقل (MTU) يمكنهما تعطيل عمليات الشبكة:
تعد محاذاة وحدة الحد الأقصى للنقل (MTU) بشكل صحيح أمرا بالغ الأهمية لمنع مشكلات تجزئة الحزمة أو عمليات الإسقاط الصامتة، مما يضمن المصادقة الموثوقة وتنفيذ السياسات وتحقيق إستقرار الشبكة بشكل عام. وقد يؤدي الفشل في معالجة هذه المشكلات إلى إرباك الاتصال المتقطع وإخفاقات تطبيق السياسات، مما يستهلك جهدا كبيرا في أستكشاف المشكلات وحلها.
الأعراض الشائعة لوحدة الحد الأقصى للنقل (MTU)
يمكن أن تظهر وحدة الحد الأقصى للنقل (MTU) المحاذية بطرق مختلفة، مما يؤدي في كثير من الأحيان إلى مسائل يصعب تشخيصها:
حالات فشل مصادقة RADIUS المتقطعة أو حالات انتهاء المهلة: كما يمكن ملاحظته بشكل خاص للسياسات التي تولد حزم RADIUS أكبر (على سبيل المثال، تلك التي تحتوي على أزواج AV أو شهادات واسعة).
نقاط النهاية التي تفشل في إستلام قوائم التحكم في الوصول (ACL) القابلة للتنزيل (dACLs) أو سياسات TrustSec (SGTs/SGACLs) أو تطبيقها: وغالبا ما يتم نقل هذه السياسات في حزم RADIUS الكبيرة.
إنشاء جلسة عمل بطيئة للعملاء المصدق عليهم: بسبب عمليات إعادة الإرسال على طبقة التطبيقات.
عمليات إعادة الإرسال الفائقة عبر بروتوكول RADIUS: قابل للملاحظة في سجلات ISE أو على أجهزة الوصول إلى الشبكة (NAD).
نشر النهج غير المتسق: قد لا يتم نشر تغييرات السياسة التي تم إجراؤها في ISE بشكل ثابت إلى جميع NADs في مواقع SDA البعيدة.
تناقضات التقاط الحزمة: يمكن أن تظهر الالتقاط ISE وهي ترسل حزم كبيرة (على سبيل المثال، >1450 بايت) مع مجموعة بت عدم تجزئة (DF)، ولكن لا توجد إستجابة مطابقة أو خطأ "التجزئة المطلوبة" ل ICMP من موجه NAD أو SD-WAN Cisco Edge.
زيادة عدادات إسقاط الحزم: تمت ملاحظته على واجهة الدخول لمركز البيانات (DC) موجه Cisco Edge لحركة المرور التي يتم الحصول عليها من ISE الموجهة لمواقع SDA، أو على واجهة موجه Cisco Edge SD-WAN التي تواجه حدود SDA لحركة المرور في الإتجاه العكسي.
عملية نشر نموذجية للمؤسسات
ولنتأمل هنا أحد طوبولوجيا المؤسسات الشائعة:
خوادم Cisco ISE: يتم النشر في مركز بيانات مركزي (DC) أو محاور إقليمية، متصلة بالبنية الأساسية لشبكة DC.
البنية الأساسية للتيار المستمر: يتضمن محولات DC الأساسية أو محولات التجميع التي تتصل بها خوادم ISE.
تضمين شبكة WAN المعرفة عن طريق البرامج: تقوم موجهات DC Edge من Cisco بإنشاء أنفاق SD-WAN (عادة IPsec) عبر شبكة نقل أساسية (على سبيل المثال، Internet، MPLS) إلى موجهات Cisco Edge في مواقع SDA البعيدة.
موقع SDA: تتصل موجهات Cisco Edge في المواقع البعيدة ببنية SDA المحلية، والتي تتضمن عقد حافة البنية وعقد الحدود ووحدات التحكم في الشبكة المحلية (WLCs) اللاسلكية، ونقاط النهاية في نهاية المطاف.
مبادئ تصميم SDA من Cisco، التي غالبا ما يتم تطبيقها من خلال التشغيل التلقائي للشبكة المحلية (LAN)، وتعزيز وحدة الحد الأقصى للنقل (MTU) على مستوى المجمع بسعة 9100 بايت (إطارات ضخمة) على جميع أجهزة البنية. ويتضمن ذلك العقد الحدودية من السلسلة Catalyst 9000 ويضمن نقل إطارات Ethernet jumbo بكفاءة داخل البنية. ونتيجة لذلك، يتم تعيين واجهة توصيل الطبقة 3 أو SVI على عقدة حدود SDA افتراضيا إلى وحدة الحد الأقصى للنقل (MTU) الأكبر هذه.
على العكس، فإن أجهزة حافة SD-WAN، مثل سلسلة Catalyst 8000، تكون عادة افتراضية إلى وحدة الحد الأقصى للنقل (MTU) للواجهة بقيمة 1500 بايت. وهذا قياسي للواجهات المتصلة بالشبكات الخارجية مثل موفري خدمة الإنترنت (ISPs)، حيث يكون دعم الإطارات كبيرة الحجم غير شائع أو غير ممكن.
ويخلق هذا التفاوت نقطة مباشرة من الفشل المحتمل: حد SDA يحاول إرسال حزمة IP أكبر من 1500 بايت إلى حافة SD-WAN التي تم تكوين واجهة الاستلام لها لوحدة الحد الأقصى للنقل (MTU) ذات 1500 بايت.
هذا النوع من عدم تطابق وحدة الحد الأقصى للنقل (MTU) هو خطأ شائع في عمليات نشر SDA وغالبا ما يكون من السهل التغاضي عنه أثناء التكوين. وما يجعل هذا الأمر أكثر تحديا هو أن السلوكيات المحددة المتعلقة بكيفية إنشاء طلبات RADIUS على محولات Catalyst 9000 switches التي تشغل برنامج Cisco IOS-XE® يمكن أن تتسبب في ظهور هذه المشكلات فقط في ظروف محددة وحرجة.
على سبيل المثال، يتم ترميز طلبات RADIUS التي يتم إنشاؤها أثناء عملية مصادقة المستخدم النهائي والتي تتم معالجتها بواسطة عملية برنامج إدارة جلسات العمل (SMD)، ترميزا ثابتا لتجزئة الحزم بمقدار 1396 بايت. وعلى النقيض من ذلك، يتم إنشاء طلبات RADIUS المتعلقة باسترداد سياسات TrustSec، مثل قائمة التحكم في الوصول إلى مجموعة الأمان (SGACL)، بواسطة المكونات الفرعية لبرنامج Cisco Internetworking Operating System (IOSd). وهذه الوحدات متوافقة مع وحدة الحد الأقصى للنقل (MTU) ويمكنها تجنب تجزئة الحزم ما لم يتجاوز حجمها وحدة الحد الأقصى للنقل (MTU) للنظام (عادة ما يصل إلى 9100 بايت).
ونتيجة لذلك، تصبح المشاكل المتعلقة بعدم تطابق وحدة الحد الأقصى للنقل (MTU) واضحة فقط عندما تكون سياسات التنزيل من Cisco TrustSec (CTS) قيد الاستخدام. بالإضافة إلى ذلك، قد تختلف مجموعة قوائم التحكم في الوصول المستندة إلى الأدوار (RBACL) التي يتم تنزيلها بواسطة جهاز حافة SDA أثناء مصادقة المستخدم بناء على أي سياسات SGACL موجودة بالفعل لعلامات التمييز الأخرى. في الممارسة العملية، يقوم المحول بتنزيل الأجزاء غير المتداخلة فقط من مجموعات السياسات.
ومعا، من الممكن أن تؤدي هذه السلوكيات إلى نتائج غير متوقعة وغير متناسقة، تتراوح بين الإخفاقات الصامتة إلى التنزيلات غير المكتملة للسياسات، اعتمادا على حجم سياسة قائمة التحكم في الوصول إلى البنية الأساسية (SGACL)، وظروف النظام الحالية، وفي نهاية المطاف، الاختلالات في إتفاق وحدة الحد الأقصى للنقل (MTU) على المسار.
تقوم حدود SDA بإعادة توجيه حزمة RADIUS كبيرة (على سبيل المثال، 1600 بايت) نحو ISE عبر حافة SD-WAN، وهذا ما يحدث:
يؤدي هذا السقوط الصامت إلى حدوث نوبات صداع خطيرة تتعلق باستكشاف المشكلات وإصلاحها، لا سيما وأن المشكلة تتعلق بالإتجاه (SDA إلى SD-WAN/ISE).
يمكن أن يحدث عدم تطابق مماثل في وحدة الحد الأقصى للنقل (MTU) في محولات مركز البيانات الأساسية أو الطرفية، والتي يتم تكوينها عادة لدعم الإطارات كبيرة الحجم (على سبيل المثال، MTU 9000+) لتحسين كفاءة حركة مرور البيانات الداخلية. ومع ذلك، إذا تم تسليم حركة المرور إلى واجهة شبكة LAN الخاصة بموجه SD-WAN Edge Router الذي تم تكوينه باستخدام وحدة الحد الأقصى للنقل (MTU) القياسية (على سبيل المثال، 1500 بايت)، فقد يؤدي عدم التطابق هذا إلى التجزئة أو عمليات إسقاط الحزم، وخاصة لحركة المرور المتدفقة من شبكة DC إلى بنية SD-WAN.
قم بمحاذاة وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على واجهة توصيل حدود SDA (المادية أو SVI) مع واجهة SD-WAN Cisco Edge Router، عادة 1500 بايت.
مثال التكوين (على عقدة حد SDA):
!
interface Vlan3000 // Or your physical handoff interface, for example, TenGigabitEthernet1/0/1
description Link to SD-WAN cEdge Router
ip address 192.168.100.1 255.255.255.252
ip mtu 1500 // Align with SD-WAN cEdge receiving interface MTU
!
تدعم محولات Catalyst 9000 Series، كعقد حد SDA، تجزئة IP لحزم IP الأصلية في مستوى بيانات الأجهزة. لا يتسبب خفض وحدة الحد الأقصى للنقل (MTU) الخاصة ب بروتوكول الإنترنت على واجهة التسليم إلى 1500 في انخفاض الأداء بسبب التجزئة المستندة إلى البرامج لحركة المرور التي تنشأ من الحدود التي تحتاج إليها أو تمر بها. يقوم المحول بتقسيم حزم IP التي يزيد حجمها عن 1500 بايت (إذا كان بت DF واضح) بكفاءة قبل تسجيل هذه الواجهة المحددة، دون الضغط على وحدة المعالجة المركزية.
مهما، هو مهم أن يلاحظ أن مادة حفازة 9000 مفتاح بشكل عام لا يساند تجزئة VXLAN يغلف حركة مرور. يعد هذا التحديد أمرا بالغ الأهمية لحركة المرور غير أنه لا يؤثر على سيناريو مصادقة RADIUS الموصوف، حيث يحدث اتصال RADIUS بين حدود SDA و ISE الخارجي عادة داخل القاعدة (توجيه IP الأصلي). (اعتبارات الحد الأقصى للنقل (MTU) لتغشيات شبكة VXLAN هي موضوع منفصل ومعقد، مفصل في أدلة تصميم SDA ذات الصلة من Cisco).
المحاذاة الاستباقية لوحدة الحد الأقصى للنقل (MTU) في حدود بطاقة SDA إلى نقل موجه حافة SD-WAN من Cisco أمر ضروري.
حتى إذا تم تعيين الواجهات المادية الفردية، مثل بطاقة واجهة شبكة ISE (NIC)، أو منافذ المحول، أو واجهات الموجه على وحدة الحد الأقصى للنقل (MTU) لبروتوكول IP سعة 1500 بايت قياسية، فإن تغشية SD-WAN نفسها تقدم عمليات التضمين العامة. وتستهلك هذه النفقات الإضافية جزءا من الحد البالغ 1500 بايت، مما يقلل عدد وحدات الحد الأقصى للنقل (MTU) الفعال المتوفر لحزمة IP الأصلية ("الحمولة" من منظور ISE).
عندما يتم إرسال حزمة IP من خادم ISE (على سبيل المثال، حزمة قبول الوصول إلى RADIUS) إلى جهاز الوصول إلى الشبكة (NAD) في موقع SDA، فإنها تجتاز تغشية SD-WAN وتتم تغليفها. يتضمن مكدس التضمين الشائع IPsec في وضع النفق، ربما عبر UDP لمرور NAT (NAT-T).
ضع في الاعتبار IPsec ESP في وضع النفق، ربما مع تضمين UDP ل NAT-T:
يمكن أن يختلف إجمالي التكاليف بناء على شفرات IPsec المحددة وآليات المصادقة وميزات التغشية الأخرى (مثل GRE إذا تم إستخدامها). حساب نموذجي:
رأس IP الخارجي (IPv4): 20 بايت
رأس UDP (إذا كان ESP عبر UDP ل NAT-T): 8 بايت
عنوان ESP: ~8 بايت
ESP IV (على سبيل المثال، ل AES-CBC): ~16 بايت (إذا كان ذلك ممكنا)
مصادقة ESP (على سبيل المثال، تم اقتطاع HMAC-SHA256): ~12-16 بايت
مصروفات IPsec المقدرة الشائعة: ~52-70 بايت (يمكن أن تكون أعلى، ما يصل إلى 80 بايت تقريبا أو أكثر باستخدام جميع الخيارات).
إذا كانت وحدة الحد الأقصى للنقل (MTU) الخاصة بالارتباط الفعلي 1500 بايت، تصبح وحدة الحد الأقصى للنقل (MTU) المتوفرة لحزمة IP الأصلية من ISE: 1500 بايت - مصروفات عامة عبر شبكة WAN الخاصة بشبكة SD.
على سبيل المثال، 1500 - 70 = 1430 بايت.
السلوك عند تجاوز الحزم MTU الفعالة:
رسم تخطيطي لعملية PMTUD:
حيث ينهار اتصال PMTUD:
يعتبر "الحشد الشعبي" قويا من الناحية النظرية، لكنه يمكن أن يفشل من الناحية العملية:
تصفية ICMP: غالبا ما تقوم جدران الحماية الوسيطة أو سياسات الأمان بحظر رسائل ICMP، مما يمنع رسالة "التجزئة المطلوبة" من الوصول إلى ISE.
تنظيم مستوى التحكم (CoPP) على موجه Cisco Edge: تستخدم موجهات Cisco Edge Router CoPP لحماية وحدة المعالجة المركزية (CPU) الخاصة بها. إنشاء رسائل خطأ ICMP هي مهمة على مستوى التحكم. تحت الحمل الثقيل أو مع العديد من الحزم ذات الحجم الزائد، يمكن أن يقوم CoPP بتحديد المعدل أو إسقاط إنشاء ICMP. لا يتلقى ISE الملاحظات أبدا.
حالات السقوط الصامت: إذا لم يستلم ISE رسالة ICMP "التجزئة المطلوبة"، فإنه يظل غير مدرك لتقييد المسار. ويستمر في إرسال حزم كبيرة باستخدام مجموعة بت DF، مما يؤدي إلى إسقاطها بصمت من خلال مدخل موجه حافة Cisco. يؤدي ذلك إلى حالات انتهاء المهلة وإعادة الإرسال على مستوى التطبيقات (على سبيل المثال RADIUS).
التأثير على خدمات ISE: تكون الحزم الكبيرة القابلة للوصول إلى RADIUS (التي تحمل قوائم التحكم في الوصول إلى النقل (dACLs)، التلميحات واسعة النطاق (AVP)، معلومات الرقيب) حساسة بشكل خاص. تشمل المظاهر:
حالات فشل المصادقة المتقطعة أو الكاملة.
نقاط النهاية التي لا تتلقى سياسات الوصول إلى الشبكة أو برامج SGT الصحيحة.
مزامنة النهج غير كاملة أو فاشلة بين ISE و NADs.
نظرا لعدم موثوقية PMTUD، يعد النهج الاستباقي هو الأفضل للخدمات الحيوية مثل ISE. قم بتكوين وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على واجهات شبكة ISE إلى قيمة تستوعب بشكل آمن الحد الأقصى المتوقع لتغشية شبكة SD-WAN. وهذا يضمن أن ISE لا ينشئ حزم IP (مع مجموعة بت DF) والتي تكون بطبيعتها كبيرة جدا لتجتاز تغشية SD-WAN بدون الحاجة إلى التجزئة بواسطة جهاز وسيط (والذي يتم حظره إذا DF=1).
حساب وإعداد وحدة الحد الأقصى للنقل (MTU) لبروتوكول ISE IP الموصى بها:
المكون | مثال أعلى (بالبايت) | ملاحظات |
وحدة الحد الأقصى للنقل (MTU) المادية الأساسية | 1500 | إيثرنت قياسي على إرتباطات فعلية |
مطروحا منه: شبكة WAN المعرفة عن طريق البرامج الإضافية | ||
رأس IP الخارجي (IPv4) | 20 | |
رأس UDP (ل NAT-T) | 8 | إذا تم تضمين ESP في UDP |
رأس ESP | ~8-12 | |
ESP IV (على سبيل المثال، AES-CBC) | ~16 | يختلف مع خوارزمية التشفير |
مصادقة ESP (على سبيل المثال، SHA256) | ~12-16 | يختلف مع خوارزمية المصادقة (على سبيل المثال، 96-بت لبعض) |
تغشيات أخرى (GRE، وهكذا) | متغير | إضافة إذا كان جزءا من مكدس تضمين SD-WAN لديك |
مجموع النفقات العامة المقدرة | ~68 - 80+ بايت | مجموع جميع المكونات ذات الصلة لعملية النشر الخاصة بك |
وحدة الحد الأقصى للنقل (MTU) للمسار الفعال | ~1432 - 1420 بايت | وحدة الحد الأقصى للنقل (MTU) المادية الأساسية - إجمالي التكاليف المقدرة |
غالبا ما تكون وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP التي تبلغ 1350 بايت نقطة بداية قوية للغاية
يتم تنفيذ هذا الأمر على واجهة سطر الأوامر (CLI) الخاصة بجهاز Cisco ISE لكل واجهة شبكة مناسبة.
!
interface GigabitEthernet0 ! Or the specific interface used for RADIUS/SDA communication
ip mtu 1350
!
مطلوب إعادة تشغيل الخدمة: بمجرد تطبيق الأمر ip mtu على واجهة ISE، يطالب هذا المستخدم بإعادة تشغيل خدمات تطبيق ISE. هذا تغيير يؤثر على الخدمة ويجب جدولته أثناء إطار صيانة مخطط. راجع وثائق Cisco ISE الرسمية للحصول على تفاصيل الإجراءات.
تطبيق على جميع عقد ISE: يجب تطبيق تعديل وحدة الحد الأقصى للنقل (MTU) لبروتوكول IP هذا بشكل ثابت على جميع عقد ISE في النشر (PAN الأساسية، PAN الثانوية، عقد خدمة السياسة (PSN)) التي تتصل بأجهزة NAD عبر شبكة SD-WAN. تؤدي إعدادات MTU غير المتناسقة إلى سلوك غير متوقع.
فحص شامل: قبل التطبيق في الإنتاج، قم باختبار هذا التغيير بشكل دقيق في عملية نشر المختبر أو الطيار. أستخدم أدوات مثل إختبار الاتصال مع أحجام حزم متنوعة وتم ضبط DF-بت للتحقق من معالجة MTU من نهاية إلى نهاية:
الأنظمة التي تستند إلى نظام التشغيل Linux:
ping -s -M do
(ملاحظة: - يحدد s حجم حمولة ICMP. إجمالي حجم حزمة IP = الحمولة + 8 محركات أقراص ثابتة ICMP + محرك أقراص ثابتة HDR لبروتوكول IPv4 سعة 20 بايت)
Windows:
ping -f -l
(ملاحظة: -l يحدد حجم حمولة ICMP.)
برنامج Cisco IOS/Cisco IOS-XE®
ping size df-bit
قم بتحديث وحدة الحد الأقصى للنقل (MTU) عبر مسار الإرسال بأكمله، وفي كلا الاتجاهين - عند تحديث إعدادات IP MTU على ISE، من المهم مراعاة وحدة الحد الأقصى للنقل (MTU) عبر مسار الإرسال بأكمله، وفي كلا الاتجاهين. إذا لم تتم محاذاة قيمة وحدة الحد الأقصى للنقل (MTU) التي تم تكوينها على ISE مع وحدة الحد الأقصى للنقل (MTU) على واجهة الطبقة 3 لبوابة الخطوة الأولى، فيمكن أن تنشأ مشاكل مماثلة كما هو موضح في التحدي #1.
على سبيل المثال، إذا تم خفض سعة وحدة الحد الأقصى للنقل (MTU) الخاصة بالإصدار ISE إلى 1300 بايت بينما تظل وحدة الحد الأقصى للنقل (MTU) الافتراضية سعة 1500 بايت مكونة على البوابة الافتراضية، فيمكن إسقاط الحزم التي تتراوح من 1300 إلى 1500 بايت في الحجم، والتي يتم إنشاؤها بشكل شائع بواسطة أجهزة الشبكة، بواسطة نظام التشغيل ISE نظرا لتضخم حجمها.
إن تنظيم إعدادات وحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على خوادم Cisco ISE باستخدام الحدود الفعالة لوحدة الحد الأقصى للنقل (MTU) على طبقة النقل التي تفرضها عملية تضمين SD-WAN ومحاذاة وحدة الحد الأقصى للنقل (MTU) عند حدود SDA إلى نقل موجه Cisco Edge من SD-WAN ليس مجرد توصية بل متطلب أساسي لضمان إستقرار خدمات AAA وموثوقيتها وأدائها في شبكات المؤسسات الحديثة المجزأة. على الرغم من أن اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار عبارة عن آلية مهمة، إلا أنه يمكن عرقلة فعاليته العملية بواسطة عوامل مثل تصفية ICMP أو تنظيم مستوى التحكم في بيئات SD-WAN.
من خلال إجراء تكوين استباقي لوحدة الحد الأقصى للنقل (MTU) عبر بروتوكول IP على محرك خدمات الهوية (على سبيل المثال، من 1350 إلى 1400 بايت)، يمكن لمهندسي الشبكة ومهندسيها تخفيف خطر حالات إسقاط الحزم المرتبطة بالوحدة متعددة المحطات (MTU) بشكل كبير، مما يؤدي إلى عمليات شبكة أكثر مرونة وقابلية للتنبؤ بها. وهذا أمر حيوي بشكل خاص في عمليات نشر تطبيق SDA من Cisco حيث يقوم ISE بتنسيق التجزئة الصغيرة المتطورة وتنفيذ السياسات الديناميكية، والتي غالبا ما تعتمد على التسليم الناجح لرسائل مستوى التحكم الكبيرة المحتملة. يعد التخطيط الجاد والاختبار الشامل والتكوين المتناسق عبر جميع عقد ISE عاملا أساسيا لنجاح عملية النشر وخلوها من المشكلات.
للحصول على فهم أعمق، راجع المعايير الرسمية ووثائق Cisco:
أدوات تحديد المعدل:
المعيار RFC 1191: اكتشاف مسار وحدة الحد الأقصى للنقل (MTU)
المعيار RFC 791: بروتوكول الإنترنت (IP) - يحدد رأس IP، بما في ذلك بت عدم التجزئة (DF).
المعيار RFC 8200: مواصفات IPv6 (ذات صلة إذا تم إستخدام IPv6، وتتضمن مفاهيم PMTUD مماثلة).
المعيار RFC 4459: مشاكل MTU والتجزئة مع الاتصال النفقي داخل الشبكة (VPN) - تعالج مباشرة مشاكل MTU الشائعة في بيئات VPN.
وثائق Cisco:
أدلة النشر وتصميم SDA من Cisco: للحصول على معلومات حول توصيات وحدة الحد الأقصى للنقل (MTU) الليفية وتكوينات العقد الحدودية.
أدلة التكوين وتصميم Cisco SD-WAN: للحصول على تفاصيل حول التكاليف العامة لعملية التضمين، وحدة الحد الأقصى للنقل (MTU) لواجهة النفق، واعتبارات PMTUD داخل بنية SD-WAN.
أدلة تكوين المحول Cisco Catalyst 9000 Series: للحصول على تفاصيل خاصة بالنظام الأساسي حول إعدادات وحدة الحد الأقصى للنقل (MTU) وإمكانات التجزئة.
مدير محرك خدمات الهوية من Cisco وأدلة واجهة سطر الأوامر: للحصول على معلومات حول تكوين الواجهة، بما في ذلك تأثيرات إعادة تشغيل الخدمة وأمر ip mtu.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
19-May-2025
|
الإصدار الأولي |