Consideraciones sobre las MTU

La unidad máxima de transferencia (MTU) es el tamaño, en bytes, del paquete más grande admitido por un protocolo de nivel de red (como TCP), que incluye los encabezados y los datos.

Los paquetes de red enviados a través de un túnel VPN se encriptan y, luego, se encapsulan en un paquete externo para que puedan enrutarse. Los túneles de Cloud VPN usan IPSec y ESP para la encriptación y la encapsulación. Debido a que el paquete interno encapsulado debe ajustarse dentro de la MTU del paquete externo, su MTU debe ser más pequeña.

Encapsulación y fragmentación

Cloud VPN utiliza la prefragmentación. Debes habilitar la prefragmentación en tu puerta de enlace VPN para que los paquetes que envíe se fragmenten antes de que se encripten y encapsulen. Los paquetes enviados desde tus sistemas locales deben tener el bit DF desactivado.

La MTU de la puerta de enlace y la MTU del sistema

Debes configurar tu puerta de enlace VPN local para usar una MTU de no más de 1,460 bytes. Se recomienda un valor de 1,460 bytes porque coincide con la configuración de MTU predeterminada para las instancias de VM de GCP.

La MTU efectiva para sistemas locales y VM de GCP es generalmente más baja que la MTU de tu puerta de enlace VPN:

  • Para el tráfico de TCP, se reescribe el paquete SYN del protocolo de enlace de TCP inicial con fijación de MSS. Esto permite que los sistemas ajusten dinámicamente el tamaño máximo de segmento (MSS) para adaptarse a la encapsulación.

  • Para el tráfico UDP, Path MTU Discovery (PMTUD) puede negociar tamaños de MTU más pequeños, en ciertas circunstancias, siempre que tu firewall permita el tráfico ICMP.

Consideraciones de rendimiento

La fijación de MSS y PMTUD no resuelven todas las causas de pérdida de paquetes. Considera estas estrategias para garantizar que los sistemas puedan comunicarse de manera confiable a través de un túnel de Cloud VPN:

  • Si la MTU de tu puerta de enlace VPN local está configurada en 1,460 bytes, considera configurar la MTU de las VM de GCP locales en 1,390 bytes si sucede lo siguiente:

    • La fijación de MSS no mitiga la pérdida de paquetes para el tráfico de TCP.
    • Envías tráfico UDP, y no es posible usar PMTUD. Por ejemplo, no todas las aplicaciones UDP pueden aprovechar PMTUD.
  • Si configuraste la MTU de tu puerta de enlace VPN local en un valor inferior a 1,460 bytes, deberás determinar una MTU aceptable para sistemas locales y VM de GCP. Esta MTU deberá ser aproximadamente 70 bytes más baja que la MTU de tu puerta de enlace.

¿Qué sigue?

Más conceptos de VPN Si deseas obtener información adicional sobre los conceptos de Cloud VPN, usa las flechas de navegación de la parte inferior de la página para pasar al siguiente concepto o usa los siguientes vínculos:

Relacionado con VPN

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...