Überlegungen zu MTU

Die maximale Übertragungseinheit (MTU) gibt die Bytezahl des größten Pakets an, das von einem Netzwerkschichtprotokoll unterstützt wird, einschließlich Header und Daten.

Über einen VPN-Tunnel gesendete Netzwerkpakete werden für das Routing verschlüsselt und in einem äußeren Paket gekapselt. Cloud VPN-Tunnel verwenden für die Verschlüsselung und Kapselung IPSec und ESP. Da das gekapselte innere Paket in die MTU des äußeren Pakets passen muss, muss seine MTU kleiner sein.

Kapselung und Fragmentierung

Cloud VPN verwendet eine Vorfragmentierung. Damit die zu sendenden Pakete vor der Verschlüsselung und Kapselung fragmentiert werden, müssen Sie die Vorfragmentierung auf Ihrem VPN-Gateway aktivieren. Bei Paketen, die von Ihren Peer-Systemen gesendet werden, muss das DF-Bit deaktiviert sein.

Gateway-MTU und System-MTU

Sie müssen Ihr Peer-VPN-Gateway so konfigurieren, dass es eine MTU von maximal 1.460 Byte verwendet. Ein Wert von 1.460 Byte wird empfohlen, da er der MTU-Standardeinstellung für Google Cloud-VM-Instanzen entspricht.

Die effektive MTU für Peer-Systeme und Google Cloud-VMs liegt normalerweise unter der MTU Ihres VPN-Gateways:

  • Bei TCP-Traffic wird das SYN-Paket des anfänglichen TCP-Handshakes durch MSS Clamping neu geschrieben. Dadurch kann die maximale Segmentgröße (MSS) dynamisch für die Kapselung angepasst werden.

  • Bei UDP-Traffic können mit Path MTU Discovery (PMTUD) unter bestimmten Umständen kleinere MTU-Größen verhandelt werden, sofern Ihre Firewall ICMP-Traffic zulässt.

Hinweise zur Leistung

MSS Clamping und PMTUD lösen nicht alle Ursachen für Paketverluste. Erwägen Sie diese Strategien für die zuverlässige Kommunikation von Systemen über einen Cloud-VPN-Tunnel:

  • Wenn die MTU Ihres lokalen VPN-Gateways auf 1.460 Byte eingestellt ist, sollten Sie in folgenden Fällen die MTU von lokalen und Google Cloud-VMs eventuell auf 1.390 Byte festlegen:

    • Paketverluste bei TCP-Traffic lassen sich durch MSS Clamping nicht reduzieren.
    • PMTUD ist beim Senden von UDP-Traffic nicht möglich. Beispielsweise können nicht alle UDP-Anwendungen PMTUD nutzen.
  • Wenn Sie die MTU Ihres Peer-VPN-Gateways auf einen Wert unter 1.460 Byte setzen, müssen Sie eine akzeptable MTU für Peer-Systeme und Google Cloud-VMs festlegen. Diese MTU muss ungefähr 70 Byte unter der MTU Ihres Gateways liegen.

Weitere Informationen

Weitere VPN-Konzepte

Wenn Sie mehr über Cloud VPN-Konzepte erfahren möchten, wechseln Sie mit den Navigationspfeilen am Ende der Seite zum nächsten Konzept oder klicken Sie auf die folgenden Links:

Zu VPN