IBM fixação de unidade máxima de transmissão (MTU) de VPN de site para site
Ao configurar e otimizar conexões VPN IPsec de site para site, você pode encontrar problemas de desempenho de rede, um dos quais está relacionado à fixação de Unidade de Transmissão Máxima (MTU) e Tamanho Máximo de Segmento (MSS). Este tópico aprofunda esses conceitos para ajudá-lo a entender e otimizar suas conexões VPN IPsec.
O que é MTU?
MTU refere-se ao tamanho máximo de um pacote de dados que pode ser transmitido em uma rede de computadores em um único quadro. Geralmente, os valores de MTU são fixos e medidos em bytes Em redes Ethernet, o tamanho padrão da MTU é de 1500 bytes Quando um pacote de dados excede o MTU, ele é fragmentado em segmentos menores para transmissão. Na rede de VPC do IBM Cloud, é possível ativar quadros gigantes com uma MTU de 9000 bytes para aumentar o desempenho da máquina virtual No entanto, a MTU é fixada em 1500 bytes no gateway de VPN de site para site IBM, porque o tráfego de VPN deve viajar pela internet
O que é MSS?
MSS é um parâmetro específico para a camada TCP (Transmission Control Protocol) dentro da pilha de rede TCP/IP. O MSS representa a maior quantidade de dados que podem ser incluídos em um único segmento TCP dentro de um pacote IP. Ao contrário da MTU, que é determinada pela infraestrutura de rede, o valor MSS é negociado durante o handshake TCP entre dois dispositivos de comunicação. Ele é usado para garantir que os segmentos TCP se encaixem dentro da MTU da rede, evitando assim fragmentação e remontagem.
A relação entre MTU e MSS baseia-se em assegurar uma transmissão de dados eficiente dentro das restrições da MTU da rede. Para alinhar o MSS com a MTU da rede, é possível usar o seguinte relacionamento aritmético:
MSS = MTU - (IP Header Size + TCP Header Size)
Em que:
IP Header Size
é o tamanho do cabeçalho IP (geralmente 20 bytes).TCP Header Size
é o tamanho do cabeçalho TCP (geralmente 20 bytes). Portanto, o MSS é 1460 no gateway VPN.
Fixação MSS
O MSS do gateway VPN é 1460 quando o pacote ainda não está criptografado pelo IPsec. Quando uma máquina virtual VPC envia tráfego para conexões VPN por um gateway IBM VPN, problemas podem surgir devido ao encapsulamento de pacotes IP dentro de cabeçalhos adicionais para criptografia e autenticação. Esta encapsulação aumenta o tamanho dos pacotes, excedendo o MTU 1500 bytes. Quando isso acontece, problemas como fragmentação de pacotes e remontagem podem ocorrer, levando a desempenho degradado e aumento da latência.
Para tratar os problemas relacionados à MTU em VPNs IPsec de site para site da IBM, o gateway VPN usa MSS clamping, que é uma abordagem usada para limitar o MSS de pacotes TCP para um valor que assegura que eles se ajustem dentro da MTU da rede. Ao fazer isso, ele evita a fragmentação de pacotes e os problemas de desempenho associados.
O tamanho aumentado dos pacotes devido ao encapsulamento IPsec varia com a cifra de criptografia que é usada pela VPN IPsec. Geralmente, um MSS de 1360 é um valor seguro para todos os tipos de cifras de criptografia para o MTU 1500. Portanto, quando o tráfego passa pelo gateway de VPN de site para site da IBM, o MSS no pacote TCP é automaticamente reduzido para 1360
Se a sua rede ou MTU de rede do provedor ISP for menor que 1500 bytes, você deverá ativar a fixação de MSS e reduzir o MSS em seu gateway de VPN local.