ораничениях, для которых требуется фрагментация IP-пакетов. Оба этих
примера говорят о необходимости наличия специальной функции в системах для
определения потребности в фрагментации IP-пакетов для передачи их по
сетевым виртуальным соединениям (то есть, необходимо ли прикладному
процессу обладать возможностью копирования бита “DF” (для обработки
ICMP(PMTU)-сообщений), но только для одного конкретно выбранного
криптоинтерфейса). Другими словами, целесообразно, чтобы администоратор
сетевой безопасности обладал возможностью настройки маршрутизатора с
целью обработки бита “DF” (установки, удаления, копирования из внутреннего
заголовка) в интересах каждого криптоинтерфейса.
(Замечание. Если программный IPsec-модуль, работающий в составе
программного обеспечения LAN-сервера, “попытается” применить
различные IPsec-алгоритмы, для которых указаны порты
отправителя/получателя (транспортный уровень Internet-архитектуры), то
тогда будет весь трудно использовать предлагаемые
рекомендации по управлению PMTU-процессом.)
В.2. Фрагментация
Если это необходимо, процедура IP-фрагментации проводится после
IPsec-обработки. Таким образом, AH- или ESP-протокол применяются только
целых IP-пакетов (а не для их фрагментов). IP-пакет, прошедший AH- или ESP-
обработку, может фрагментироваться маршрутизаторами, которые
расположены на пути его следования, и поэтому приемный IPsec-модуль
должен первоначально “собрать целиком” IP-пакет и только потом проводить
IPsec-обработку. РТУ для IP-пакетов реализуется за счет применяется AH- или
ESP-протокол, причем поле информации этих IP-пакетов может подвергаться
процедуре фрагментации. Для такой фрагментации, например, программный
IPsec-модуль в составе программного обеспечения шлюза безопасности, LAN-
сервера или канального (линейного) шифратора может применять AH-протокол
в РТУ. (Замечание. В указанном примере программный IPsec-модуль в
составе программного обеспечения LAN-сервера или канального
(линейного) шифратора может принимать фрагменты IPsec-пакетов, для
которых используется туннельный режим доставки. Однако, при
использовании транспортного режима доставки IPsec-пакетов указанный
IPsec-модуль должен повторно собирать фрагменты IP-пакетов перед их
IPsec-обработкой.)
(Замечание. Программный IPsec-модуль должен всегда определять в
составном IP-заголовке все те поля, которые относятся к внутреннему IP-
заголовку. Это не зависит от того, где вы размещаете IPsec-модуль, а
зависит только от характеристик самого IPsec-модуля. Более того, любой