IBM Unidad de transmisión máxima (MTU) de VPN de sitio a sitio
Al configurar y optimizar las conexiones VPN de IPsec de sitio a sitio, es posible que se encuentre con problemas de rendimiento de red, uno de los cuales está relacionado con la fijación de Unidad de transmisión máxima (MTU) y Tamaño máximo de segmento (MSS). Este tema profundiza en estos conceptos para ayudarle a comprender mejor y optimizar sus conexiones VPN IPsec.
¿Qué es MTU?
MTU hace referencia al tamaño máximo de un paquete de datos que se puede transmitir en una red de sistema en una sola trama. Normalmente, los valores de MTU son fijos y se miden en bytes. En redes Ethernet, el tamaño de MTU estándar es de 1500 bytes. Cuando un paquete de datos excede la MTU, se fragmenta en segmentos más pequeños para la transmisión. En la red de VPC de IBM Cloud, puede habilitar tramas de gran tamaño con una MTU de 9000 bytes para aumentar el rendimiento de la máquina virtual. Sin embargo, la MTU se fija en 1500 bytes en la pasarela VPN de sitio a sitio de IBM porque el tráfico de VPN debe viajar a través de Internet.
¿Qué es MSS?
MSS es un parámetro específico de la capa TCP (Transmission Control Protocol) dentro de la pila de red TCP/IP. El MSS representa la mayor cantidad de datos que se pueden incluir en un único segmento TCP dentro de un paquete IP. A diferencia de MTU, que está determinada por la infraestructura de red, el valor de MSS se negocia durante el reconocimiento TCP entre dos dispositivos en comunicación. Se utiliza para asegurarse de que los segmentos TCP se ajustan a la MTU de la red, evitando así la fragmentación y el reensamblaje.
La relación entre MTU y MSS se basa en garantizar una transmisión de datos eficiente dentro de las restricciones de la MTU de la red. Para alinear MSS con la MTU de la red, puede utilizar la siguiente relación aritmética:
MSS = MTU - (IP Header Size + TCP Header Size)
Donde:
IP Header Size
es el tamaño de la cabecera IP (normalmente 20 bytes).TCP Header Size
es el tamaño de la cabecera TCP (normalmente 20 bytes). Por lo tanto, el MSS es 1460 en la pasarela VPN.
Abrazadera MSS
El MSS de la pasarela VPN es 1460 cuando el paquete todavía no está cifrado por IPsec. Cuando una máquina virtual de VPC envía tráfico a conexiones VPN a través de una pasarela IBM VPN, pueden surgir problemas debido a la encapsulación de paquetes IP dentro de cabeceras adicionales para el cifrado y la autenticación. Esta encapsulación aumenta el tamaño de los paquetes, superando los 1500 bytes de MTU. Cuando esto sucede, se pueden producir problemas como la fragmentación de paquetes y el reensamblaje, lo que lleva a un rendimiento degradado y a una mayor latencia.
Para solucionar los problemas relacionados con la MTU en las VPN de IPsec de sitio a sitio de IBM, la pasarela VPN utiliza MSS clamping, que es un método que se utiliza para limitar el MSS de los paquetes TCP a un valor que garantice que caben dentro de la MTU de la red. Al hacerlo, evita la fragmentación de paquetes y los problemas de rendimiento asociados.
El tamaño aumentado de los paquetes debido a la encapsulación de IPsec varía con el cifrado que utiliza la VPN de IPsec. Generalmente, un MSS de 1360 es un valor seguro para todo tipo de cifrados de cifrado para el MTU 1500. Por lo tanto, cuando el tráfico pasa a través de la pasarela VPN de sitio a sitio de IBM, el MSS del paquete TCP se reduce automáticamente a 1360.
Si la MTU de red de proveedor de ISP o de red es inferior a 1500 bytes, debe habilitar la sujeción de MSS y reducir el MSS en la pasarela VPN local.