Stiti cand va spuneam ca am rezolvat problema cu Cisco-ul meu sa faca IPsec…dar nu termina de facut ipsec…cheste care ar fi trebuit (sic!) sa fie simpla…. Ei bine..face IPsec. Da’ nu pana la capat.

De ce anume va intrebati… Pentru ca, din motive pe care nu le explic aici, topologia mea e urmatoarea:

IPsecPeer1 —— (vlan 2 access) Cisco 6500 chior (vlan 3 access) ——-(vlan 110 access) 6500 IPsec

Ei bine, in minunatul IPsec IKEv1 (ca Cisco nu s-a trezit in secolul 21 sa stie si el IKEv2 ca restul TUTUROR vendorilor pe care i-am intalnit…si numarul ala se invarte pe la 7-8) – Main Mode cu certificate digitale, pe la mesajul 5, cand in pachet se pune si minunea de certificat digital, pachetul sare slightly de MTU…iar Cisco 6500 IPsec il fragmenteaza. Toate bune si frumoase. Pachetul fragmentat in 2 ajunge in 6500-le din mijloc, pe portul de access din vlan-ul 3 si iese…..doar ultimul fragment, ala mai mititel, inapoi spre peer1, prin portul de access din vlan-ul 2. Acum, MTU-ul de pe toate interfetele pe 6500-le din mijloc sunt puse, in mod disperat, la 9216 Bytes. La fel si cele de pe 6500 IPsec.

Guess what? 6500-ul din mijloc tot numai fragmentul al doilea, mai mititel, il ruteaza inapoi spre peer1. Binenteles…6500 IPsec face fragmentare in continuare….W-T-F?

Tags: draci, techie