Serraggio IBM site - to - site VPN MTU (Maximum Transmission Unit)
Quando si configurano e ottimizzano le connessioni VPN IPsec site - to - site, è possibile che si verifichino problemi di prestazioni di rete, uno dei quali è correlato al bloccaggio MTU (Maximum Transmission Unit) e MSS (Maximum Segment Size). Questo argomento approfondisce questi concetti per aiutarti a comprendere meglio e ottimizzare le tue connessioni VPN IPsec.
Che cos' è MTU?
MTU fa riferimento alla dimensione massima di un pacchetto di dati che può essere trasmesso in una rete di computer in un singolo frame. Generalmente, i valori MTU sono fissi e misurati in byte. Nelle reti Ethernet, la dimensione MTU standard è di 1500 byte. Quando un pacchetto di dati supera la MTU, viene frammentato in segmenti più piccoli per la trasmissione. Nella rete VPC IBM Cloud, puoi abilitare jumbo frames con una MTU di 9000 byte per aumentare le prestazioni della macchina virtuale. Tuttavia, la MTU è fissa a 1500 byte sul gateway VPN site - to - site IBM perché il traffico VPN deve viaggiare su Internet.
Che cos' è MSS?
MSS è un parametro specifico del livello TCP (Transmission Control Protocol) all'interno dello stack di rete TCP/IP. L'MSS rappresenta la quantità massima di dati che è possibile includere in un singolo segmento TCP all'interno di un pacchetto IP. Diversamente da MTU, che è determinato dall'infrastruttura di rete, il valore MSS viene negoziato durante l'handshake TCP tra due unità di comunicazione. Viene utilizzato per assicurarsi che i segmenti TCP si adattino all'MTU della rete, evitando così la frammentazione e il riassemblaggio.
La relazione tra MTU e MSS si basa sulla garanzia di una trasmissione efficiente dei dati entro i limiti della MTU della rete. Per allineare MSS con la MTU della rete, è possibile utilizzare la seguente relazione aritmetica:
MSS = MTU - (IP Header Size + TCP Header Size)
Dove:
IP Header Size
è la dimensione dell'intestazione IP (generalmente 20 byte).TCP Header Size
è la dimensione dell'intestazione TCP (generalmente 20 byte). Quindi, MSS è 1460 sul gateway VPN.
Bloccaggio MSS
L'MSS del gateway VPN è 1460 quando il pacchetto non è ancora crittografato da IPsec. Quando una macchina virtuale VPC invia traffico alle connessioni VPN tramite un gateway IBM VPN, possono verificarsi dei problemi dovuti all'incapsulamento dei pacchetti IP all'interno di intestazioni aggiuntive per la crittografia e l'autenticazione. Questa incapsulazione aumenta la dimensione dei pacchetti, superando i 1500 byte MTU. Quando ciò si verifica, possono verificarsi problemi come la frammentazione e il riassemblaggio dei pacchetti, con conseguente riduzione delle prestazioni e aumento della latenza.
Per risolvere i problemi relativi a MTU nelle VPN IPsec site - to - site IBM, il gateway VPN utilizza MSS clamping, che è un approccio utilizzato per limitare l'MSS dei pacchetti TCP a un valore che ne garantisca l'adattamento all'MTU della rete. In questo modo, si evita la frammentazione dei pacchetti e i problemi di prestazione associati.
La dimensione aumentata dei pacchetti a causa dell'incapsulamento IPsec varia con la cifratura di crittografia utilizzata dalla VPN IPsec. Generalmente, un MSS di 1360 è un valore sicuro per tutti i tipi di cifrari di crittografia per MTU 1500. Quindi, quando il traffico passa attraverso il gateway VPN da sito a sito IBM, l'MSS nel pacchetto TCP viene automaticamente ridotto a 1360.
Se la tua rete o MTU di rete del provider ISP è inferiore a 1500 byte, devi abilitare il serraggio MSS e ridurre l'MSS sul tuo gateway VPN in loco.