Überlegungen zu MTU

Die maximale Übertragungseinheit (MTU) gibt die Bytezahl des größten Pakets an, das von einem Netzwerkschichtprotokoll unterstützt wird, einschließlich Header und Daten.

Über einen VPN-Tunnel gesendete Netzwerkpakete werden für das Routing verschlüsselt und in einem äußeren Paket gekapselt. Cloud VPN-Tunnel verwenden für die Verschlüsselung und Kapselung IPsec und ESP. Da das gekapselte innere Paket in die MTU des äußeren Pakets passen muss, muss seine MTU kleiner sein.

Kapselung und Fragmentierung

Cloud VPN verwendet eine Vorfragmentierung. Aktivieren Sie Sie die Vorfragmentierung auf Ihrem VPN-Gateway, sodass die zu sendenden Pakete vor der Verschlüsselung und Kapselung fragmentiert werden. Bei Paketen, die von Ihren Peer-Systemen gesendet werden, muss das DF-Bit deaktiviert sein.

Gateway-MTU gegenüber System-MTU

Konfigurieren Sie das Peer-VPN-Gateway so, dass es eine MTU von maximal 1.460 Byte verwendet. Wir empfehlen einen Wert von 1.460 Byte, da er der MTU-Standardeinstellung für VM-Instanzen von Google Cloud entspricht.

Die effektive MTU für Peer-Systeme und Google Cloud-VMs liegt normalerweise unter der MTU Ihres VPN-Gateways:

  • Bei TCP-Traffic wird das SYN-Paket des ersten TCP-Handshakes durch MSS Clamping neu geschrieben. Bei dieser Aktion kann die maximale Segmentgröße (MSS) dynamisch für die Kapselung angepasst werden.

  • Wenn Ihre Firewallregel für UDP-Traffic ICMP-Traffic zulässt, kann Path MTU Discovery (PMTUD) unter bestimmten Umständen kleinere MTU-Größen aushandeln.

Hinweise zur Leistung

MSS Clamping und PMTUD lösen nicht alle Ursachen für Paketverluste. Erwägen Sie diese Strategien für die zuverlässig Kommunikation von Systemen über einen Cloud-VPN-Tunnel:

  • Wenn die MTU Ihres lokalen VPN-Gateways auf 1.460 Byte festgelegt ist, sollten Sie die MTU lokaler und Google Cloud-VMs in folgenden Fällen auf 1.390 Byte setzen:

    • Paketverluste bei TCP-Traffic lassen sich durch MSS Clamping nicht reduzieren.
    • PMTUD ist beim Senden von UDP-Traffic nicht möglich. Beispielsweise können nicht alle UDP-Anwendungen PMTUD nutzen.
  • Wenn Sie die MTU Ihres Peer-VPN-Gateways auf einen Wert unter 1.460 Byte setzen, müssen Sie eine akzeptable MTU für Peer-Systeme und Google Cloud-VMs festlegen. Diese MTU muss ungefähr 70 Byte unter der MTU Ihres Gateways liegen.

Nächste Schritte