Consideraciones sobre la MTU

La Unidad máxima de transmisión (MTU) es el tamaño en bytes del paquete más grande admitido por un protocolo de la capa de red, incluidos los encabezados y datos.

Los paquetes de red enviados a través de un túnel VPN se encriptan y, luego, se encapsulan en un paquete externo para que puedan enrutarse. Los túneles de Cloud VPN usan IPSec y ESP para la encriptación y el encapsulamiento. Debido a que el paquete interno encapsulado debe ajustarse dentro de la MTU del paquete externo, su MTU debe ser más pequeña.

Encapsulación y fragmentación

Cloud VPN utiliza la prefragmentación. Debes habilitar la prefragmentación en tu puerta de enlace VPN para que los paquetes que envíe se fragmenten antes de que se encripten y encapsulen. Los paquetes enviados desde tus sistemas de intercambio de tráfico deben tener el bit DF desactivado.

La MTU de la puerta de enlace y la MTU del sistema

Debes configurar tu puerta de enlace de VPN de intercambio de tráfico para usar una MTU de no más de 1,460 bytes. Se recomienda un valor de 1,460 bytes porque coincide con la configuración de MTU predeterminada para instancias de VM de Google Cloud.

La MTU efectiva para sistemas de intercambio de tráfico y las VM de Google Cloud es, en general, menor que la MTU de tu puerta de enlace de VPN:

  • Para el tráfico de TCP, se reescribe el paquete SYN del protocolo de enlace de TCP inicial con fijación de MSS. Esto permite que los sistemas ajusten dinámicamente el tamaño máximo de segmento (MSS) para adaptarse a la encapsulación.

  • Para el tráfico UDP, Path MTU Discovery (PMTUD) puede negociar tamaños de MTU más pequeños, en ciertas circunstancias, siempre que tu firewall permita el tráfico ICMP.

Consideraciones de rendimiento

La fijación de MSS y PMTUD no resuelven todas las causas de pérdida de paquetes. Considera estas estrategias para garantizar que los sistemas puedan comunicarse de manera confiable a través de un túnel de Cloud VPN:

  • Si la MTU de tu puerta de enlace de VPN local está establecida en 1,460 bytes, considera configurar la MTU de las VM locales y de Google Cloud en 1,390 bytes si se dan las siguientes situaciones:

    • La fijación de MSS no mitiga la pérdida de paquetes para el tráfico de TCP.
    • Envías tráfico UDP, y no es posible usar PMTUD. Por ejemplo, no todas las aplicaciones UDP pueden aprovechar PMTUD.
  • Si estableciste la MTU de tu puerta de enlace de VPN de intercambio de tráfico en un valor menor que 1,460 bytes, debes determinar una MTU aceptable para sistemas de intercambio de tráfico y las VM de Google Cloud. Esta MTU debe ser de alrededor de 70 bytes más baja que la MTU de la puerta de enlace.

Qué sigue

Más conceptos de VPN

Si deseas obtener información adicional sobre los conceptos de Cloud VPN, usa las flechas de navegación de la parte inferior de la página para pasar al siguiente concepto o usa los siguientes vínculos:

Relacionado con VPN