> For the complete documentation index, see [llms.txt](https://docs.radiusaas.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.radiusaas.com/pt/outro/troubleshooting/resolver-a-fragmentacao-eap-a-chave-para-uma-autenticacao-radius-fiavel.md). # Resolver a fragmentação EAP: a chave para uma autenticação RADIUS fiável Em segurança de rede, a **Unidade Máxima de Transmissão (MTU)** é um parâmetro crítico de rede que define o maior tamanho de pacote que pode ser transmitido por um link de rede sem ser fragmentado. Embora a maioria dos utilizadores não precise de pensar na MTU, ela torna-se um fator importante na resolução de problemas em cenários específicos, particularmente com autenticação RADIUS e EAP-TLS. Este artigo explora como a MTU afeta o protocolo RADIUS, especialmente ao lidar com cargas úteis grandes, como os certificados usados em EAP-TLS, e porque isto pode levar a falhas de autenticação. *** ## Introdução à MTU e à Fragmentação O **MTU** é o maior tamanho de pacote que uma rede consegue processar sem o dividir em partes menores. A MTU padrão para a maioria das redes Ethernet é de 1500 bytes. Quando um pacote é demasiado grande para um link de rede, ele tem de ser descartado ou dividido em partes menores e aceitáveis, um processo chamado **fragmentação IP**. O host de destino é responsável por reconstituir todos os fragmentos de volta no pacote original. *** ## EAP vs. Fragmentação IP: Porque é que esta distinção importa A distinção entre EAP e fragmentação IP é crucial para compreender problemas de autenticação. * **Fragmentação IP (Camada de Rede)**: É aqui que um router divide um único datagrama UDP em vários pacotes IP menores. Isto acontece abaixo da aplicação RADIUS, que não sabe que o seu pacote foi fragmentado. * **Fragmentação EAP (Camada de Aplicação)**: O próprio protocolo EAP não suporta fragmentação, mas fornece uma estrutura em que métodos EAP individuais, como o EAP-TLS, podem implementar os seus próprios mecanismos de fragmentação. Quando uma mensagem EAP-TLS grande (por exemplo, um certificado) é demasiado grande para a MTU, pode ser dividida em vários fragmentos EAP. Cada fragmento é então encapsulado no seu próprio pacote RADIUS e enviado individualmente. A diferença principal é que **fragmentação IP** depende da rede para reconstituir os pacotes, um processo que muitas vezes falha. **a fragmentação EAP** depende do cliente e do servidor para tratar a reconstituição, o que é um processo mais robusto e que evita problemas ao nível da rede. *** ## O papel do Authenticator na Fragmentação O cliente RADIUS, ou Authenticator, é um interveniente importante neste processo. Embora atue como um proxy, pode ser configurado para fragmentar mensagens EAP e evitar a fragmentação IP. Este é o método preferido para lidar com cargas úteis grandes. Por exemplo, um Authenticator pode ser configurado para dividir uma mensagem EAP grande recebida de um supplicant antes de a encapsular num pacote RADIUS e enviá-la para o servidor. Isto garante que o pacote tem o tamanho adequado para o caminho de rede. *** ## Framed-MTU vs. Tamanho da Fragmentação EAP O Framed-MTU é frequentemente confundido com a fragmentação EAP. O Framed-MTU é um atributo normalmente enviado numa `Access-Accept` mensagem do servidor RADIUS para o cliente RADIUS. O seu objetivo é definir a MTU IP para a sessão de dados do utilizador depois de este ter sido autenticado com sucesso. Não pode resolver problemas de fragmentação que ocorrem durante o próprio processo de autenticação, que é quando a fragmentação EAP é necessária. Num cenário menos comum, o atributo Framed-MTU também pode ser enviado do cliente RADIUS para o servidor numa `mensagem Access-Request` mensagem para indicar a MTU que o cliente é capaz de suportar ou que prefere utilizar. É uma sugestão, não uma ordem. O servidor RADIUS é livre de ignorar este valor ou de o usar como um fator ao decidir a MTU para a sessão; contudo, este não é um mecanismo padrão para negociar o tamanho do fragmento EAP. *** ## Porque a Fragmentação EAP é a Melhor Solução A fragmentação EAP tem de ser configurada tanto no Authenticator como no servidor RADIUS para garantir uma autenticação EAP-TLS fiável e bem-sucedida. Como o processo EAP-TLS é uma conversa bidirecional, ambos os lados têm de ser capazes de fragmentar cargas úteis grandes. Também é uma boa prática configurar ambos os lados com o mesmo tamanho de fragmento EAP para garantir consistência e evitar falhas de autenticação. Dada esta necessidade, quando um certificado grande faz com que a autenticação falhe, isso deve-se muitas vezes à fragmentação IP. Firewalls ou dispositivos CGNAT podem descartar pacotes fragmentados, fazendo com que a autenticação expire. Em vez de uma redução generalizada da MTU para todo o tráfego de rede, a melhor prática é configurar **a fragmentação EAP no authenticator e no servidor RADIUS.** Esta abordagem oferece várias vantagens importantes: * **Correção Direcionada**: Configurar um tamanho específico de fragmento EAP no authenticator ou no servidor RADIUS resolve diretamente o problema na sua origem. Garante que os pacotes de autenticação grandes sejam divididos em partes menores e aceitáveis antes de serem enviados pela rede, prevenindo a fragmentação IP sem afetar outro tráfego. * **Sem Impacto Significativo no Desempenho da Rede Global**: Reduzir a MTU global de uma interface afeta todo o tráfego de rede, o que pode levar a maior overhead e a uma diminuição da eficiência da rede. Ao usar a fragmentação EAP, o restante tráfego da rede continua a usar a MTU padrão, preservando um desempenho ideal. Embora a fragmentação EAP crie mais pacotes pequenos para a mesma carga útil e possa introduzir ligeira latência devido a mais viagens de ida e volta, isso tem um impacto de desempenho negligenciável na rede global e é um compromisso necessário para uma autenticação bem-sucedida. * **Design Específico do Protocolo**: Os métodos EAP que suportam fragmentação foram concebidos para lidar com cargas úteis grandes. Confiar nesta funcionalidade incorporada é uma abordagem mais fiável e baseada em padrões do que depender de uma solução alternativa ao nível da camada de rede. Os equipamentos comuns com capacidades de cliente RADIUS (como switches e access points da Cisco, Aruba e Juniper) têm uma funcionalidade para configurar a fragmentação EAP. Da mesma forma, servidores RADIUS como o FreeRADIUS têm uma definição `fragment_size` para controlar o tamanho máximo do fragmento EAP. É importante notar que nem todos os fornecedores oferecem esta funcionalidade. Por exemplo, a Meraki não disponibiliza nas suas definições um ajuste configurável pelo utilizador para fragmentação EAP, o que pode ser uma limitação significativa. *** ## Porque a Fragmentação Falha com CGNAT A fragmentação IP é uma causa comum de falhas de autenticação, especialmente em redes que utilizam Carrier-Grade NAT (CGNAT), como a Starlink. * **Descartar Fragmentos**: Muitos firewalls e dispositivos CGNAT não foram concebidos para lidar eficientemente com pacotes fragmentados. Por razões de segurança ou desempenho, podem descartar os fragmentos ou falhar na sua reconstituição correta. * **Perda de Pacotes**: Se até mesmo um fragmento se perder durante o trânsito, o datagrama UDP original completo não pode ser reconstituído pelo servidor. Como o UDP é sem ligação e não tem mecanismo de retransmissão, o servidor RADIUS nunca recebe um `mensagem Access-Request`, e a autenticação falha. A ausência de um mecanismo de retransmissão para tráfego UDP fragmentado é a principal razão pela qual a fragmentação IP é uma solução pouco fiável para autenticação. É por isso que configurar a fragmentação EAP é a solução correta. Garante que as mensagens EAP já estão em partes pequenas, impedindo que sejam fragmentadas na camada IP. Isto contorna os problemas de fragmentação causados por firewalls ou dispositivos CGNAT que descartam tráfego fragmentado. *** ## Conclusão A interação entre cargas úteis grandes de certificados EAP-TLS e a MTU de uma rede pode ser uma causa oculta de falhas de autenticação. Embora o protocolo RADIUS dependa da rede para tratar a fragmentação, firewalls e dispositivos CGNAT frequentemente descartam pacotes fragmentados. Ao compreender a distinção entre fragmentação EAP e IP, e ao aplicar a melhor prática de configurar a fragmentação EAP no authenticator e no servidor RADIUS, pode garantir que os pacotes de autenticação atravessam a rede intactos. Esta abordagem deliberada, ao nível da aplicação, fornece uma solução robusta e fiável, prevenindo problemas de conectividade comuns e frustrantes. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/pt/outro/troubleshooting/resolver-a-fragmentacao-eap-a-chave-para-uma-autenticacao-radius-fiavel.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.