{"id":274467,"date":"2022-10-30T10:18:00","date_gmt":"2022-10-30T07:18:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=274467"},"modified":"2023-06-28T07:47:21","modified_gmt":"2023-06-28T04:47:21","slug":"ip-fragmentointi-taysin-selitetty","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/fi\/ip-fragmentointi-taysin-selitetty\/","title":{"rendered":"IP-fragmentointi: T\u00e4ysin selitetty"},"content":{"rendered":"\n

Jokaisella IP-paketteihin perustuvalla verkolla on enimm\u00e4issiirtoyksik\u00f6n (MTU) koko. MTU, kuten termi ehdottaa, on verkossa l\u00e4hetett\u00e4v\u00e4n paketin enimm\u00e4iskoko .<\/strong><\/p>\n

MTU-kokoa suuremmat IP-paketit on jaettava pienemmiksi fragmenteiksi tai paketeiksi, jotta ne voidaan kuljettaa verkon yli.<\/p>\n

Viel\u00e4kin h\u00e4mmentynyt? \u00c4l\u00e4 huoli.\u00a0<\/p>\n

T\u00e4ss\u00e4 oppaassa selit\u00e4mme kaiken IP-osien pirstoutumisesta \u2013 mit\u00e4 se on, mit\u00e4 se tekee, miten sit\u00e4 k\u00e4ytet\u00e4\u00e4n ja sen haittoja, maallikkojen ymm\u00e4rt\u00e4misen kannalta. Vastaamme edelleen joihinkin tiettyihin aiheeseen liittyviin k\u00e4ytt\u00e4jien kysymyksiin. Joten, ilman pitki\u00e4 puheita, aloitetaan!<\/p>\n

Mik\u00e4 on IP-fragmentointi?<\/h2>\n

Jokainen paikallinen verkko tukee IP-paketin enimm\u00e4iskokoa. Joten kun is\u00e4nt\u00e4 k\u00e4ytt\u00e4\u00e4 verkkoa IP-paketin l\u00e4hett\u00e4miseen, sen ei pit\u00e4isi olla suurempi<\/strong> kuin enimm\u00e4issiirtoyksik\u00f6n (MTU) koko. Muuten se on jaettu pieniin osiin \u2013 prosessia kutsutaan IP-fragmentoimiseksi.<\/strong><\/p>\n

T\u00e4m\u00e4n koon m\u00e4\u00e4r\u00e4\u00e4v\u00e4t yleens\u00e4 MTU:t ja verkon datalinkki, joka on usein sama. Ethernetin kautta tarjottavan nykyaikaisen ty\u00f6paikan, datakeskuksen tai kampusverkon MTU:t ovat 1500 tavua.<\/strong><\/p>\n

IP-paketit, jotka siirret\u00e4\u00e4n ensin yht\u00e4 MCU:ta tukevan verkon kautta, saattavat kuitenkin edellytt\u00e4\u00e4 reitityst\u00e4 VPN-tunneleiden, WAN-verkkojen tai muiden verkkojen kautta, joissa on pienempi enimm\u00e4issiirtoyksikk\u00f6. Mik\u00e4li paketin koko ylitt\u00e4\u00e4 pienemm\u00e4n MTU:n, t\u00e4m\u00e4n paketin tiedot on pirstaloitava.<\/p>\n

Tiedot hajotettaisiin useisiin osiin<\/strong> ja kuljetettaisiin uusina fragmentteina (paketteina)<\/strong>, jotka ovat pienempi\u00e4 tai yht\u00e4 suuria kuin alempi MCU. T\u00e4m\u00e4 pirstoutunut data kootaan sitten uudelleen, kun se saavuttaa m\u00e4\u00e4r\u00e4np\u00e4\u00e4ns\u00e4.<\/p>\n

\n

IPv4<\/h2>\n

K\u00e4ytetyt IPv4-otsikkokent\u00e4t<\/h3>\n

Fragmentointi- ja uudelleenkokoonpanoprosessiin liittyy useita IP-otsikkokentti\u00e4, jotka on jaettu osiin\/fragmentteihin.<\/p>\n<\/p>\n

(Kuvan tekij\u00e4t: packetpushers.net)<\/p>\n

Fragmentoinnin toiminta perustuu kolmeen IP-otsikkokentt\u00e4\u00e4n (yhteens\u00e4 32 bitti\u00e4).<\/strong> Kaikkien n\u00e4iden fragmenttien arvot eroavat merkitt\u00e4v\u00e4sti alkuper\u00e4isest\u00e4 IP-paketista:<\/p>\n

Tunnistuskentt\u00e4 (16 bitti\u00e4)<\/strong> sis\u00e4lt\u00e4\u00e4 yksil\u00f6llisen ID-numeron, joka on sekoitus l\u00e4hde- ja kohde-IP-osoitteita. Protokolla – kentt\u00e4,<\/strong> jolla on alkuper\u00e4isen paketin arvo, mahdollistaa kohteen erottamisen samasta l\u00e4hteest\u00e4 tulevien eri pakettien fragmenttien v\u00e4lill\u00e4.<\/p>\n

T\u00e4m\u00e4 tarkoittaa yksinkertaisesti sit\u00e4, ett\u00e4 samaa tunnusta voidaan k\u00e4ytt\u00e4\u00e4, vaikka pirstoutuneiden pakettien l\u00e4hde, protokolla ja kohde eiv\u00e4t ole samat.<\/p>\n

T\u00e4sm\u00e4lleen kuten alkuper\u00e4isess\u00e4 IP-paketissa, Flags<\/strong> – kent\u00e4n ensimm\u00e4inen varattu bitti (yhteens\u00e4 3 bitti\u00e4) ja toinen, Don't Fragment (DF)\u00a0<\/strong> -bitti, kumpikin poistetaan asetuksesta (0).<\/p>\n

Lopullisen fragmentin kent\u00e4n kolmas bitti eli More Fragments (MF)<\/strong> on kuitenkin asetettu arvoon 1. Kaikki viimeisen IP-paketin t\u00e4m\u00e4n kent\u00e4n bitit asetetaan arvoon 0, aivan kuten alkuper\u00e4inen IP-paketti (ellei se ole fragmentti).<\/p>\n

Jos alkuper\u00e4isess\u00e4 paketissa Don't Fragment -lippu on asetettu, t\u00e4m\u00e4 est\u00e4isi pirstoutumisen ja johtaisi pakettien hylk\u00e4\u00e4miseen. Virheet tulee l\u00e4hett\u00e4\u00e4 t\u00e4ss\u00e4 tapauksessa l\u00e4hett\u00e4j\u00e4lle, kuten tyypin 3 ICMP-virhe: "Kohde tavoittamaton", koodi 4: "Vaadittu fragmentointi ja DF asetettu".<\/strong><\/p>\n

Kentt\u00e4\u00e4 Fragment Offset\u00a0<\/strong> (yhteens\u00e4 13 bitti\u00e4) k\u00e4ytet\u00e4\u00e4n osoittamaan alkudatan sijainti fragmentissa suhteessa alkuper\u00e4isen IP-paketin aloitusdataan. T\u00e4t\u00e4 k\u00e4ytet\u00e4\u00e4n sitten tietojen uudelleen kokoamiseen kaikista fragmenteista (saapuivatko vai eiv\u00e4t).<\/p>\n

Ensimm\u00e4isen fragmentin siirtym\u00e4 on 0, koska t\u00e4m\u00e4n fragmentoidun paketin ja alkuper\u00e4isen paketin tiedot alkavat samasta paikasta. Seuraavissa fragmenteissa fragmentoituneen datan arvo on offset datan alusta alkuper\u00e4isess\u00e4 fragmentissa (0 offset), 8-tavuisissa lohkoissa (tunnetaan my\u00f6s oktasanaina).<\/strong><\/p>\n

Jos 800 tavun arvoista dataa sis\u00e4lt\u00e4v\u00e4 IP-paketti jaetaan kahdeksi yht\u00e4 suureksi osaksi\/fragmentiksi, joista kumpikin kantaa 400 tavua, ensimm\u00e4isen fragmentin fragmenttisiirtym\u00e4 on 0,<\/strong> kun taas toisen fragmentin fragmentti on 50 (400\/8).<\/strong><\/p>\n

Offset-arvon on oltava 8-tavuisten tietolohkojen m\u00e4\u00e4r\u00e4.<\/strong> T\u00e4m\u00e4 tarkoittaa, ett\u00e4 edellisen fragmentin on oltava 8 tavun kerrannainen. Viimeinen fragmentti saa kuljettaa dataa, joka ei ole 8 tavun kerrannainen, koska fragmentteja ei en\u00e4\u00e4 ole.<\/p>\n

\n

IPv6<\/h2>\n

Vaikka useimmat otsikkokent\u00e4t pysyv\u00e4t samoina, IPv6:n IP-fragmentointi toimii hieman eri tavalla kuin IPv4. IPv6:ssa tiedot voidaan pilkkoa vain l\u00e4hdeis\u00e4nn\u00e4ss\u00e4.<\/strong> T\u00e4m\u00e4 tarkoittaa, ett\u00e4 pirstoutumista ei voida suorittaa muissa verkoissa, paitsi l\u00e4hteess\u00e4.<\/p>\n

Ei ole saatavilla Don't Fragment -lippua<\/strong>, joten sinun ei tarvitse tehd\u00e4 muuta kuin luoda fragmentteja.<\/p>\n

IP-fragmentointia ei voida suorittaa, jos PMTUD:t\u00e4 ei k\u00e4ytet\u00e4. Solmut eiv\u00e4t voi k\u00e4ytt\u00e4\u00e4 MTU:ta, joka on suurempi kuin 1280 tavua<\/strong>, mik\u00e4 on IPv6:n v\u00e4himm\u00e4ism\u00e4\u00e4r\u00e4, jos ne eiv\u00e4t toteuta Path MTU Discovery\u00e4 (PMUTD).<\/p>\n

Vaikka Path MTU Discovery toimii samalla tavalla kuin IPv4, ICMP-virhesanoma on erilainen:<\/p>\n

\"\"<\/a><\/p>\n

(Kuvan tekij\u00e4t: packetpushers.net)<\/p>\n

Jos IP-paketti on kooltaan suurempi kuin MCU, IPv6-reitittimen on hyl\u00e4tt\u00e4v\u00e4 se<\/strong> ja l\u00e4hetett\u00e4v\u00e4 l\u00e4hett\u00e4j\u00e4lle tyypin 2 ICMPv6-virhe "Paketti liian suuri" – koodi 0.<\/strong><\/p>\n

Huomaa, ett\u00e4 luottamisessa takakanavaan ja ICMP-l\u00e4hetykseen alkuper\u00e4iselle is\u00e4nn\u00e4lle on useita puutteita \u2013 yksi t\u00e4rke\u00e4 niist\u00e4 on se, ett\u00e4 ICMP-viestit estet\u00e4\u00e4n usein<\/strong> verkon eri tapauksissa tietoturvaetujen vuoksi.<\/p>\n

N\u00e4in l\u00e4hett\u00e4v\u00e4 is\u00e4nt\u00e4 ei vastaanota Packet Too Big -viestej\u00e4<\/strong> ja l\u00e4hett\u00e4\u00e4 uudelleen useaan otteeseen hyl\u00e4tyt IP-paketit, jotka eiv\u00e4t varmasti tavoita. Lopulta yhteys katsottaisiin ep\u00e4vakaaksi ja suljetuksi.<\/strong> Vaikka uusi perustettaisiin, ongelma toistuisi.<\/p>\n

Sirpaloitumiseen liittyv\u00e4t otsikkokent\u00e4t sijoitetaan laajennusotsikkoon, jota kutsutaan Fragment Headeriksi. T\u00e4m\u00e4 m\u00e4\u00e4ritet\u00e4\u00e4n seuraavan otsikon<\/strong> kent\u00e4ll\u00e4 (arvo 44) vakio-IPv6:ssa tai miss\u00e4 tahansa aikaisemmassa laajennusotsikossa.<\/p>\n

Kuten kaikki laajennusotsikot, t\u00e4m\u00e4kin on 8 tavua\/64 bitti\u00e4 pitk\u00e4,<\/strong> ja siin\u00e4 on vakiootsikko, mik\u00e4 johtaa IPv6:n pirstoutumiseen, jolla on korkeampi yleisrasite kuin IPv4:ll\u00e4.<\/p>\n

K\u00e4ytetyt IPv6-otsikkokent\u00e4t<\/h3>\n

Tarkista IPv6-fragmentin laajennusotsikon kent\u00e4t:<\/p>\n

\"\"<\/a><\/p>\n

(Kuvan tekij\u00e4t: packetpushers.net)<\/p>\n

Kentt\u00e4 nimelt\u00e4 Next Header<\/strong> (8 bitti\u00e4) m\u00e4\u00e4ritt\u00e4\u00e4 otsikkotyypin, kuten ylemm\u00e4n kerroksen protokollan otsikko tai IPv6-laajennuksen otsikko. Seuraavat 8 bitti\u00e4 varataan.<\/p>\n

13-bittist\u00e4 Fragment Offset<\/strong> -kentt\u00e4\u00e4 k\u00e4ytet\u00e4\u00e4n samalla tavalla kuin IPv4:\u00e4\u00e4. T\u00e4m\u00e4n j\u00e4lkeen varataan seuraavat 2 bitti\u00e4.<\/p>\n

Kent\u00e4n M<\/strong> lippu asetetaan arvoon 1, ja lopullinen fragmentti asetetaan kuten IPv4:n More Fragments (MF)\u00a0<\/strong> -kentt\u00e4.<\/p>\n

32-bittinen tunnistuskentt\u00e4<\/strong> on sama kuin 16-bittinen IPv4-kentt\u00e4, joka sis\u00e4lt\u00e4\u00e4 yksil\u00f6llisen ID-numeron l\u00e4hde- ja kohdeosoitteiden yhdistelm\u00e4\u00e4 varten. Protokolla-kentt\u00e4 ei ole k\u00e4ytett\u00e4viss\u00e4 IPv6:ssa.<\/p>\n

\n

IP-fragmentoinnin haitat<\/h2>\n

IP-protokollapinossa katsotaan olevan ep\u00e4luotettava mekanismi<\/strong>, jonka vuoksi p\u00e4\u00e4palvelimet eiv\u00e4t pysty selvitt\u00e4m\u00e4\u00e4n hy\u00f6tykuorman enimm\u00e4iskokoa kommunikoidessaan IPv4- ja IPv6-is\u00e4nt\u00e4koneen kautta.<\/p>\n

Vaikka MTU-mekanismin puuttuminen verkossa on ymm\u00e4rrett\u00e4v\u00e4\u00e4, koska IP-paketit kulkevat eri reittej\u00e4, p\u00e4\u00e4st\u00e4 p\u00e4\u00e4h\u00e4n -tiedon puute<\/strong> voi johtaa siihen, ett\u00e4 v\u00e4litt\u00e4j\u00e4reitittimet vastaanottavat ylisuuria paketteja eiv\u00e4tk\u00e4 pysty v\u00e4litt\u00e4m\u00e4\u00e4n niit\u00e4 eteenp\u00e4in.<\/p>\n

IPv4-reitittimet voivat jakaa IP-paketit osiin siirron aikana,<\/strong> mutta sama toiminto ei ole k\u00e4ytett\u00e4viss\u00e4 IPv6-reitittimiss\u00e4, joissa l\u00e4hett\u00e4j\u00e4n on suoritettava fragmentointi.<\/p>\n

Sirpaloituminen johtaa piikkiin kerroksen 3 yl\u00e4puolella.<\/strong> Jos esimerkiksi p\u00e4\u00e4teis\u00e4nt\u00e4 uskoo, ett\u00e4 se voi k\u00e4ytt\u00e4\u00e4 1500 tavun IP-paketteja, mutta kohtaa hypyn polullaan MTU-koon 1472, IP-paketti jaetaan kahdeksi paketiksi, mik\u00e4 johtaisi lis\u00e4ttyyn IPv6-otsikkoon. 40 tavua ja IPv4-otsikko 20 tavua.<\/strong><\/p>\n

IP-fragmentit lis\u00e4\u00e4v\u00e4t taakkaa vastaanottavalle j\u00e4rjestelm\u00e4lle,<\/strong> koska fragmentit on koottava uudelleen toimittamaan ne korkeammille protokollakerroille. T\u00e4m\u00e4 toiminta pahenee, kun reititin lopettaa IP-liikenteen.<\/p>\n

Jos reititin yritt\u00e4\u00e4 koota pirstoutuneita paketteja, paketit eiv\u00e4t koota uudelleen laitteistossa ja heikent\u00e4v\u00e4t alustan suorituskyky\u00e4 rajusti.<\/p>\n

\n

UKK<\/h2>\n

IP-osien pirstoutuminen on elint\u00e4rke\u00e4\u00e4 tiedonsiirron kannalta, koska jokaisessa verkossa on eri kokoraja tietojen k\u00e4sittelylle. T\u00e4m\u00e4 raja tunnetaan my\u00f6s nimell\u00e4 MTU (maksimi l\u00e4hetysyksikk\u00f6).<\/p>\n

Ei, reitittimet voivat pilkkoa IP-paketteja, mutta eiv\u00e4t koota niit\u00e4 uudelleen. Kohdelaitteen teht\u00e4v\u00e4 on koota n\u00e4m\u00e4 paketit uudelleen k\u00e4ytt\u00e4j\u00e4\u00e4 varten.<\/p>\n

Jos yksi tai useampi datagrammin fragmentti katoaa, koko datagrammi hyl\u00e4t\u00e4\u00e4n aikakatkaisujakson j\u00e4lkeen.<\/p>\n

\n

Johtop\u00e4\u00e4t\u00f6s<\/h2>\n

T\u00e4m\u00e4 lopettaa yksityiskohtaisen oppaamme IP-osien pirstoutumisesta.<\/p>\n

Jotta saat nopean yleiskatsauksen, jos verkon kautta l\u00e4hetett\u00e4v\u00e4 data on suurempi kuin enimm\u00e4issiirtoyksik\u00f6n (MTU)<\/a> koko, tiedot jaetaan useisiin fragmentteihin ja l\u00e4hetet\u00e4\u00e4n vastaanottajalle.<\/p>\n

Heti kun IP-fragmentit saapuvat m\u00e4\u00e4r\u00e4np\u00e4\u00e4h\u00e4ns\u00e4, ne koottaisiin uudelleen oikeassa j\u00e4rjestyksess\u00e4, jotta tiedoista voi olla hy\u00f6ty\u00e4 k\u00e4ytt\u00e4jille. Pirstoutumisen mekanismi on erilainen sek\u00e4 IPv4- ett\u00e4 IPv6-verkkojen v\u00e4lill\u00e4, joiden yksityiskohdat on mainittu edell\u00e4.<\/p>\n

Jos sinulla on kysytt\u00e4v\u00e4\u00e4 IP-osoitteista<\/a> ja pirstoutumisesta, ota meihin yhteytt\u00e4 kommenteissa.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Haluatko tiet\u00e4\u00e4, mit\u00e4 IP-osien pirstoutuminen on? Lue oppaamme ja opi kaikki IP-osien pirstoutumisesta, sen toiminnasta ja sen haitoista.<\/p>\n","protected":false},"author":1,"featured_media":321742,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8539,8519,8559,8589,8488],"tags":[],"class_list":["post-274467","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-asetukset","category-datan-suojelu","category-kenraali","category-sekalaista","category-vpn-ohjeet"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/posts\/274467","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/comments?post=274467"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/posts\/274467\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/media\/321742"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/media?parent=274467"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/categories?post=274467"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/tags?post=274467"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}