IBM Cloud Docs
IBM Site-to-Site-VPN-MTU-Klemmung (MTU = Maximum Transmission Unit, maximale Übertragungseinheit)

IBM Site-to-Site-VPN-MTU-Klemmung (MTU = Maximum Transmission Unit, maximale Übertragungseinheit)

Wenn Sie Site-to-Site-IPsec-VPN-Verbindungen konfigurieren und optimieren, können Probleme mit der Netzleistung auftreten, von denen eines mit der maximalen Übertragungseinheit (MTU) und der maximalen Segmentgröße (MSS) in Zusammenhang steht. In diesem Abschnitt werden diese Konzepte näher erläutert, damit Sie Ihre IPsec-VPN-Verbindungen besser verstehen und optimieren können.

Was ist MTU?

Die maximale Übertragungseinheit bezieht sich auf die maximale Größe eines Datenpakets, das in einem Computernetz in einem einzelnen Rahmen übertragen werden kann. In der Regel werden MTU-Werte festgelegt und in Byte gemessen. In Ethernet-Netzen beträgt die MTU-Standardgröße 1500 Byte. Wenn ein Datenpaket die maximale Übertragungseinheit überschreitet, wird es zur Übertragung in kleinere Segmente fragmentiert. Im IBM Cloud-VPC-Netz können Sie Jumbo-Frames mit einer MTU von 9000 Byte aktivieren, um die Leistung der virtuellen Maschine zu verbessern. Die MTU ist jedoch auf 1500 Byte im IBM VPN-Gateway zwischen Sites festgelegt, da VPN-Datenverkehr über das Internet übertragen werden muss.

Was ist MSS?

MSS ist ein Parameter, der für die TCP-Schicht (Transmission Control Protocol) im TCP/IP-Netzstack spezifisch ist. Das MSS stellt das größte Datenvolumen dar, das in einem einzelnen TCP-Segment in einem IP-Paket enthalten sein kann. Im Gegensatz zur MTU, die durch die Netzinfrastruktur bestimmt wird, wird der MSS-Wert beim TCP-Handshake zwischen zwei miteinander kommunizierenden Einheiten ausgehandelt. Es wird verwendet, um sicherzustellen, dass TCP-Segmente in die maximale Übertragungseinheit des Netzes passen, sodass Fragmentierung und Neuerstellung vermieden werden.

Die Beziehung zwischen MTU und MSS basiert auf einer effizienten Datenübertragung innerhalb der Einschränkungen der MTU des Netzes. Sie können die folgende arithmetische Beziehung verwenden, um MSS an der MTU des Netzes auszurichten:

MSS = MTU - (IP Header Size + TCP Header Size)

Wo:

  • IP Header Size ist die Größe des IP-Headers (normalerweise 20 Byte).
  • TCP Header Size ist die Größe des TCP-Headers (normalerweise 20 Byte). Der MSS ist also 1460 auf dem VPN-Gateway.

MSS-Klemmung

Der MSS des VPN-Gateways ist 1460, wenn das Paket noch nicht von IPsec verschlüsselt wurde. Wenn eine virtuelle VPC-Maschine Datenverkehr über ein IBM VPN-Gateway an VPN-Verbindungen sendet, können Probleme aufgrund der Kapselung von IP-Paketen in zusätzlichen Headern für Verschlüsselung und Authentifizierung auftreten. Diese Kapselung erhöht die Größe der Pakete und überschreitet damit die maximale Übertragungseinheit von 1500 Byte. In diesem Fall können Probleme wie Paketfragmentierung und Neuerstellung auftreten, was zu einer verminderten Leistung und einer erhöhten Latenzzeit führt.

Um die MTU-bezogenen Probleme in IBM Site-to-Site-IPsec-VPNs zu beheben, verwendet das VPN-Gateway MSS-Klemmung. Dies ist ein Ansatz, der verwendet wird, um die MSS von TCP-Paketen auf einen Wert zu begrenzen, der sicherstellt, dass sie in die MTU des Netzes passen. Dadurch wird die Paketfragmentierung und die damit verbundenen Leistungsprobleme verhindert.

Die erhöhte Größe der Pakete aufgrund der IPsec-Kapselung variiert mit dem Verschlüsselungscode, der vom IPsec-VPN verwendet wird. Im Allgemeinen ist ein MSS von 1360 ein sicherer Wert für alle Verschlüsselungsarten für die MTU 1500. Wenn also der Datenverkehr das IBM Site-to-Site-VPN-Gateway durchläuft, wird der MSS im TCP-Paket automatisch auf 1360 reduziert.

Wenn die MTU Ihres Netz-oder ISP-Provider-Netzes weniger als 1500 Byte beträgt, müssen Sie die MSS-Klemmung aktivieren und die MSS auf Ihrem lokalen VPN-Gateway reduzieren.