# Resolución de la fragmentación EAP: la clave para una autenticación RADIUS fiable En seguridad de red, la **Unidad máxima de transmisión (MTU)** es un parámetro de red crítico que define el tamaño máximo de paquete que puede transmitirse por un enlace de red sin fragmentarse. Aunque la mayoría de los usuarios no necesita pensar en MTU, se convierte en un factor importante de solución de problemas en escenarios específicos, particularmente con la autenticación RADIUS y EAP-TLS. Este artículo explora cómo MTU afecta al protocolo RADIUS, especialmente al tratar con cargas útiles grandes como los certificados utilizados en EAP-TLS, y por qué esto puede provocar fallos de autenticación. *** ## Introducción a MTU y la fragmentación El **MTU** es el tamaño máximo de paquete que una red puede manejar sin dividirlo en partes más pequeñas. La MTU estándar para la mayoría de las redes Ethernet es de 1500 bytes. Cuando un paquete es demasiado grande para un enlace de red, debe descartarse o dividirse en partes más pequeñas y aceptables, un proceso llamado **fragmentación IP**. El host de destino es responsable de volver a ensamblar todos los fragmentos en el paquete original. *** ## EAP frente a fragmentación IP: por qué importa esta distinción La distinción entre EAP y la fragmentación IP es crucial para entender los problemas de autenticación. * **Fragmentación IP (capa de red)**: Aquí es donde un enrutador divide un único datagrama UDP en varios paquetes IP más pequeños. Esto ocurre por debajo de la aplicación RADIUS, que no sabe que su paquete fue fragmentado. * **Fragmentación EAP (capa de aplicación)**: El protocolo EAP en sí no admite fragmentación, pero proporciona un marco en el que métodos EAP individuales, como EAP-TLS, pueden implementar sus propios mecanismos de fragmentación. Cuando un mensaje EAP-TLS grande (por ejemplo, un certificado) es demasiado grande para la MTU, puede dividirse en múltiples fragmentos EAP. Luego, cada fragmento se encapsula dentro de su propio paquete RADIUS y se envía individualmente. La diferencia clave es que **fragmentación IP** depende de que la red vuelva a ensamblar los paquetes, un proceso que a menudo falla. **La fragmentación EAP** depende de que el cliente y el servidor gestionen el reensamblaje, lo que es un proceso más robusto que evita problemas a nivel de red. *** ## El papel del autenticador en la fragmentación El cliente RADIUS, o autenticador, es un actor clave en este proceso. Aunque actúa como proxy, puede configurarse para fragmentar mensajes EAP y evitar la fragmentación IP. Este es el método preferido para gestionar cargas útiles grandes. Por ejemplo, un autenticador puede configurarse para descomponer un mensaje EAP grande recibido de un supplicant antes de encapsularlo en un paquete RADIUS y enviarlo al servidor. Esto garantiza que el paquete tenga el tamaño adecuado para la ruta de red. *** ## Framed-MTU frente al tamaño de fragmentación EAP Framed-MTU a menudo se confunde con la fragmentación EAP. Framed-MTU es un atributo que normalmente se envía en un `Access-Accept` mensaje del servidor RADIUS al cliente RADIUS. Su propósito es establecer la MTU IP para la sesión de datos del usuario después de que haya sido autenticado correctamente. No puede resolver los problemas de fragmentación que ocurren durante el propio proceso de autenticación, que es cuando se necesita la fragmentación EAP. En un escenario menos común, el atributo Framed-MTU también puede enviarse desde el cliente RADIUS al servidor en un `Access-Request` mensaje para indicar la MTU que el cliente es capaz de admitir o preferiría usar. Es una pista o sugerencia, no una orden. El servidor RADIUS puede ignorar este valor o usarlo como factor al decidir la MTU para la sesión; sin embargo, este no es un mecanismo estándar para negociar el tamaño de fragmento EAP. *** ## Por qué la fragmentación EAP es la mejor solución La fragmentación EAP debe configurarse tanto en el autenticador como en el servidor RADIUS para garantizar una autenticación EAP-TLS fiable y exitosa. Dado que el proceso EAP-TLS es una conversación bidireccional, ambas partes deben ser capaces de fragmentar cargas útiles grandes. También es una buena práctica configurar ambos lados con el mismo tamaño de fragmento EAP para garantizar la coherencia y evitar fallos de autenticación. Dada esta necesidad, cuando un certificado grande provoca que falle la autenticación, a menudo se debe a la fragmentación IP. Los firewalls o los dispositivos CGNAT pueden descartar paquetes fragmentados, haciendo que la autenticación expire por tiempo de espera. En lugar de una reducción general de la MTU para todo el tráfico de red, la mejor práctica es configurar **la fragmentación EAP en el autenticador y el servidor RADIUS.** Este enfoque ofrece varias ventajas clave: * **Corrección específica**: Configurar un tamaño de fragmento EAP específico en el autenticador o en el servidor RADIUS resuelve directamente el problema en su origen. Garantiza que los paquetes de autenticación grandes se dividan en partes más pequeñas y aceptables antes de enviarse por la red, evitando la fragmentación IP sin afectar al resto del tráfico. * **Sin impacto significativo en el rendimiento de toda la red**: Reducir la MTU global de una interfaz afecta a todo el tráfico de red, lo que puede provocar mayor sobrecarga y una disminución de la eficiencia de la red. Al usar la fragmentación EAP, el resto del tráfico de la red sigue utilizando la MTU estándar, preservando un rendimiento óptimo. Aunque la fragmentación EAP crea más paquetes pequeños para la misma carga útil y puede introducir una ligera latencia debido a más idas y vueltas, esto tiene un impacto de rendimiento insignificante en la red en general y es una compensación necesaria para lograr una autenticación exitosa. * **Diseño específico del protocolo**: Los métodos EAP que admiten fragmentación están diseñados para manejar cargas útiles grandes. Depender de esta función integrada es un enfoque más fiable y basado en estándares que recurrir a una solución temporal en la capa de red. Los dispositivos habituales con capacidades de cliente RADIUS (como switches y puntos de acceso de Cisco, Aruba y Juniper) disponen de una función para configurar la fragmentación EAP. Del mismo modo, servidores RADIUS como FreeRADIUS tienen un `fragment_size` ajuste para controlar el tamaño máximo del fragmento EAP. Es importante señalar que no todos los fabricantes ofrecen esta funcionalidad. Por ejemplo, Meraki no ofrece en su panel un ajuste configurable por el usuario para la fragmentación EAP, lo que puede suponer una limitación importante. *** ## Por qué falla la fragmentación con CGNAT La fragmentación IP es una causa común de fallos de autenticación, especialmente en redes que usan traducción de direcciones de red de grado de operador (CGNAT), como Starlink. * **Descartar fragmentos**: Muchos firewalls y dispositivos CGNAT no están diseñados para manejar paquetes fragmentados de forma eficiente. Por motivos de seguridad o rendimiento, pueden descartar los fragmentos o no reensamblarlos correctamente. * **Pérdida de paquetes**: Si incluso se pierde un fragmento durante el tránsito, el servidor no puede reensamblar el datagrama UDP original completo. Dado que UDP no tiene conexión y no dispone de un mecanismo de retransmisión, el servidor RADIUS nunca recibe un `Access-Request`, y la autenticación falla. La falta de un mecanismo de retransmisión para el tráfico UDP fragmentado es la razón principal por la que la fragmentación IP es una solución poco fiable para la autenticación. Por eso configurar la fragmentación EAP es la solución correcta. Garantiza que los mensajes EAP ya estén en fragmentos pequeños, evitando que se fragmenten en la capa IP. Esto evita los problemas de fragmentación causados por firewalls o dispositivos CGNAT que descartan el tráfico fragmentado. *** ## Conclusión La interacción entre cargas útiles grandes de certificados EAP-TLS y la MTU de una red puede ser una causa oculta de fallos de autenticación. Aunque el protocolo RADIUS depende de que la red gestione la fragmentación, los firewalls y los dispositivos CGNAT a menudo descartan paquetes fragmentados. Al comprender la distinción entre EAP y la fragmentación IP, y al aplicar la buena práctica de configurar la fragmentación EAP en el autenticador y el servidor RADIUS, puede asegurarse de que los paquetes de autenticación atraviesen la red intactos. Este enfoque deliberado, en la capa de aplicación, ofrece una solución sólida y fiable, evitando problemas de conectividad comunes y frustrantes.