Considérations relatives aux MTU

L'unité de transmission maximale (MTU) correspond à la taille, en octets, du plus grand paquet accepté par un protocole de couche réseau. Elle inclut les en-têtes et les données.

Les paquets réseau envoyés via un tunnel VPN sont chiffrés, puis encapsulés dans un paquet externe afin de pouvoir être acheminés. Les tunnels Cloud VPN utilisent IPSec et ESP pour le chiffrement et l'encapsulation. Étant donné que le paquet interne encapsulé doit lui-même tenir dans la MTU du paquet externe, la valeur de sa MTU doit être inférieure.

Encapsulation et fragmentation

Cloud VPN utilise la préfragmentation. Vous devez activer cette fonctionnalité sur votre passerelle VPN pour que les paquets qu'elle envoie soient fragmentés avant d'être chiffrés et encapsulés. Le bit DF doit être désactivé pour les paquets envoyés à partir de vos systèmes pairs.

MTU des passerelles et des systèmes

Vous devez configurer votre passerelle VPN homologue pour utiliser une MTU de pas supérieur à 1460 octets. La valeur de 1 460 octets est recommandée, car elle correspond au paramètre de MTU par défaut des instances de VM Google Cloud.

La MTU réelle des systèmes pairs et des VM Google Cloud est généralement inférieure à celle de votre passerelle VPN.

  • Pour le trafic TCP, le processus de limitation de la taille maximale de segment (MSS, Maximum Segment Size) réécrit le paquet SYN du handshake TCP initial. Cela permet aux systèmes d'ajuster de manière dynamique la taille MSS pour l'adapter à l'encapsulation.

  • Pour le trafic UDP, le processus de détection de MTU de chemin (PMTUD, Path MTU Discovery) permet, dans certains cas, de négocier des tailles de MTU inférieures, à condition que votre pare-feu autorise le trafic ICMP.

Considérations sur les performances

Les processus de limitation de la taille MSS et de détection PMTUD ne permettent pas de résoudre tous les problèmes à l'origine des pertes de paquets. Vous pouvez utiliser les stratégies ci-dessous pour vous assurer que les systèmes peuvent communiquer de manière fiable via un tunnel Cloud VPN.

  • Si la MTU de votre passerelle VPN sur site est définie sur 1 460 octets, essayez de définir la MTU des VM sur site et Google Cloud sur 1 390 octets dans les cas suivants :

    • Le processus de limitation de la taille MSS ne restreint pas les pertes de paquets pour le trafic TCP.
    • Vous envoyez du trafic UDP, et le processus de détection PMTUD ne peut pas être utilisé. Par exemple, certaines applications UDP ne permettent pas de tirer parti de ce processus.
  • Si vous avez configuré la MTU de votre passerelle VPN de pairs sur une valeur inférieure à 1 460 octets, vous devez déterminer une MTU acceptable pour les systèmes pairs et les VM Google Cloud. Cette MTU doit être inférieure d'environ 70 octets à la MTU de votre passerelle.

Étapes suivantes

Autres concepts liés aux VPN

Si vous souhaitez en savoir plus sur les concepts relatifs à Cloud VPN, utilisez les flèches de navigation situées en bas de la page pour passer au concept suivant, ou cliquez sur les liens ci-dessous.

Informations relatives aux VPN