MTU 注意事項

最大傳輸單位 (MTU) 是 TCP 等網路層通訊協定支援的最大封包大小 (以位元組為單位),其中包含標頭與資料。

透過 VPN 通道傳送的網路封包會經過加密,然後封裝於外部封包,使其可以轉送。Cloud VPN 通道使用 IPSec 與 ESP 進行加密與封裝。由於經封裝的內部封包必須配合外部封包的 MTU,因此內部封包的 MTU 必須小一點。

封裝與分段

Cloud VPN 使用預先分段。您必須針對 VPN 閘道啟用預先分段,才能使其傳送的封包在加密及封裝之前分段。從內部部署系統傳送的封包必須關閉 DF 位元。

閘道 MTU 與系統 MTU

您必須將內部部署 VPN 閘道設定為使用「不得大於」1460 位元組的 MTU。建議您使用 1460 位元組,因為該值符合 GCP VM 執行個體的預設 MTU 設定。

內部部署系統與 GCP VM 的有效 MTU 通常低於 VPN 閘道的 MTU:

  • 如果是 TCP 流量,「MSS 箝制」會重寫初始 TCP 握手的 SYN 封包,讓系統可動態調整最大區段大小 (MSS) 以容納封裝。

  • 只要您的防火牆允許 ICMP 流量,路徑 MTU 探索 (PMTUD) 可在某些情況下針對 UDP 流量交涉較小的 MTU 大小。

效能注意事項

MSS 箝制與 PMTUD 無法解決造成封包遺失的每個原因。請考慮下列策略,確保系統能夠透過 Cloud VPN 通道穩定通訊:

  • 如果內部部署 VPN 閘道的 MTU 設定為 1460 位元組,在下列情況下,請考慮將內部部署與 GCP VM 的 MTU 設定為 1390 位元組:

    • MSS 箝制無法減輕 TCP 流量中的封包遺失問題。
    • 您傳送 UDP 流量且無法使用 PMTUD。例如,並非所有 UDP 應用程式都可以利用 PMTUD。
  • 如果您已將內部部署 VPN 閘道的 MTU 設定為「小於」1460 位元組的值,則需要決定內部部署系統與 GCP VM 可接受的 MTU。這個 MTU 必須比閘道的 MTU 低 70 位元組左右。

後續步驟

更多 VPN 概念 如要進一步瞭解 Cloud VPN 概念,請使用頁面底部的導覽箭頭移至下一個概念,或使用下列連結:

VPN 相關

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN