Come settare l'MTU in presenza di VPNs
03/26/2020 3 People found this article helpful 451,531 Views
Description
Questo articolo spiega come impostare il valore MTU sull'interfaccia WAN predefinita ogni volta che le VPN stanno incontrando problemi di throughput (o packet retransmission).
NOTA: A volte il KB How to change the MTU size è abbastanza, ma altre volte si potrebbero verificare ulteriori problemi, pertanto queste informazioni potrebbero essere utili.
Cause
Encapsulation Overhead
Quando i pacchetti o frames di un protocollo vengono incapsulati all’interno di un altro protocollo, c’e’ un aumento totale della grandezza del frame. L’incapsulamento che viene effettuato aggiunge un’overhead dell’header e percio’ il sistema sta inviando pacchetti da 1500 bytes lungo la rete, che non possono essere catturati dall’altro lato. La quantita’ di bytes dell’overhead varia in base al metodo di incapsulamento. Di seguito una lista dei protocolli e dell’encapsulation overhead aggiunti al frame:
- Ogni volta che aggiungi un router, l’IPv4 header aggiunge 20 bytes
- IPsec encryption effettuata da DMVPN aggiunge 73 bytes per ESP-AES-256 and ESP-SHA-HMAC overhead (overhead dipende dal transport o tunnel mode e da algoritmo encryption/authentication e HMAC)
- MPLS aggiunge 4 bytes per ogni label nello stack.
- IEEE 802.1Q tag aggiunge 4 bytes (Q-in-Q aggiungerebbe 8 bytes)
Resolution
Come per KB: How to change the MTU size, dovresti settare l’MTU come da istruzioni del tuo ISP o effettuando dei tests.
Comunque, se stai effettuando traffico VPN nella tua rete e devi impostare l’MTU size sull’interfaccia WAN dove il traffic criptato passa, devi effettuare in PING in questo modo:
Ping -f -l #
- MTU Test in non-VPN Environment:
Esempio: Ping -f -l 1464 www.yahoo.com
Esempio: Se il ping va a buon fine (no packet loss) con un payload di 1464, l’MTU sara’:
1464 Massimo Packet size ottenuto dal Ping
+ 28 IP and ICMP headers
1492 MTU size ottimale
Se il ping va a buon fine, otterrai una risposta dall’IP specificato. Se il pacchetto e’ troppo grande, otterrai il messaggio: "Packet needs to be fragmented but DF set" (con 100% packet LOSS). Riduci il payload (buffer) size finche’ il ping va a buon fine.
NOTE: Aggiungi 28 al payload size che va a buon fine con il ping e il risultato sara’ il valore da inserire sulla WAN Interface del SonicWall.
- MTU Test in VPN Environment:
Esempio: Ping -f -l 1464 www.yahoo.com
ESEMPIO: Se il ping va a buon fine (no packet loss) con un payload di 1464, l’MTU dovrebbe essere
1464 Max packet size from Ping Test
+ 28 IP and ICMP headers
1492 should be your optimum MTU Setting
NOTE: L’MTU size non tiene conto dell’overhead IPSec.
Quindi dobbiamo tener conto dell’IPSec Header in accordo alla seguente tabella:
IPsec Transform Set | IPsec Overhead, Maximum Bytes |
esp-aes-(256 or 192 or 128) esp-sha-hmac or md5 | 73 |
esp-aes (256 or 192 or 128) | 61 |
esp-3des, esp-des | 45 |
esp-(des or 3des) esp-sha-hmac or md5 | 57 |
esp-null esp-sha-hmac or md5 | 45 |
ah-sha-hmac or md5 | 44 |
L’MTU Size sara’:
1492 MTU Size
- X IPSec Overhead
X MTU Size Definitivo
Esempio:
1492 MTU Size
- 73 IPSec Overhead
1419 MTU Size Definitivo
Related Articles
Categories