VMware, podobně jako jakékoli překrytí, doplňuje k provozu, který projde sítí, dodatečnou nadstavbu. Tato část nejprve popisuje nadstavbu přidanou v tradiční síti IPsec a způsob, jakým se bude porovnávat s VMware. Následuje vysvětlení toho, jak tato přidaná nadstavba souvisí se službou MTU a chováním fragmentace paketů v síti.

Nadstavba tunelového propojení IPsec

V tradiční síti IPsec se provoz obvykle uskutečňuje tunelovým propojením IPsec mezi koncovými body. Standardní scénář tunelového propojení IPsec (128bitové šifrování AES pomocí ESP [Encapsulating Security Payload]) má při šifrování provozu za následek několik typů nadstaveb:
  • Vyplňování (Padding)
    • AES šifruje data v 16bytových blocích, označovaných jako „bloková“ velikost.
    • Pokud je tělo paketu menší nebo nedělitelné blokovou velikostí, vyplní se tak, aby odpovídalo velikosti bloku.
    • Příklady:
      • 1bytový paket se stane 16bytovým s 15bytovou výplní.
      • 1 400bytový paket se stane 1 408bytovým s 8bytovou výplní.
      • 64bytový paket nepotřebuje žádnou výplň.
  • Záhlaví a zápatí IPsec (IPsec headers and trailers):
    • Záhlaví UDP pro NAT Traversal (NAT-T).
    • Záhlaví IP pro režim tunelového propojení IPsec.
    • Záhlaví a zápatí ESP.
Prvek Velikost v bytech
Záhlaví IP adresy 20
Záhlaví UDP 8
Číslo sekvence IPsec 4
SPI IPsec 4
Inicializační vektor 16
Vyplňování 0 – 15
Délka vyplňování 1
Další záhlaví 1
Autentizační data 12
Celkem (Total) 66 až 81
Poznámka: Uvedené příklady předpokládají, že za zařízením NAT je alespoň jedno zařízení. Pokud není použit překlad adres (NAT), je nadstavba IPsec menší o 20 bytů, protože protokol NAT-T není povinný. Chování VMware se nezmění bez ohledu na to, zda se NAT používá nebo ne (NAT-T je vždy povolen).

Nadstavba tunelového propojení VMware

Za účelem podpory funkce Dynamic Multipath Optimization™ (Dynamická optimalizace více cest) VMware zapouzdřuje pakety do protokolu nazývaného VeloCloud Multipath Protocol (Vícecestný protokol VeloCloud). VCMP přidává 31 bytů nadstavby pro uživatelské pakety na podporu sekvencování, oprav chyb, analýzy sítě a segmentace sítě v jednom tunelovém propojení. VCMP pracuje na portu UDP 2426 registrovaném v IANA. Aby bylo zajištěno konzistentní chování ve všech potenciálních scénářích (nešifrované, šifrované a za NAT, šifrované, ale ne za NAT), je VCMP šifrován pomocí přenosového režimu IPsec a vynutí NAT-T se speciálním portem 2426 NAT-T.

Pakety odeslané na internet prostřednictvím Brána SD-WAN Gateway nejsou ve výchozím nastavení šifrované, jelikož po opuštění brány budou vystaveny otevřenému internetu. V důsledku toho je nadstavba na internetový vícecestný provoz menší než na provoz VPN.

Poznámka: Poskytovatelé služeb mají možnost šifrovat internetový provoz prostřednictvím brány a pokud se rozhodnou tuto možnost použít, pak se „nadstavba VPN“ vztahuje i na internetový provoz.

Provoz VPN (VPN Traffic)

Prvek Velikost v bytech
Záhlaví IP adresy 20
Záhlaví UDP 8
Číslo sekvence IPsec 4
SPI IPsec 4
Záhlaví VCMP 23
Záhlaví dat VCMP 8
Inicializační vektor 16
Vyplňování 0 – 15
Délka vyplňování 1
Další záhlaví 1
Autentizační data 12
Celkem (Total) 97 – 112

Vícecestný internetový provoz (Internet Multipath Traffic)

Prvek Velikost v bytech
Záhlaví IP adresy 20
Záhlaví UDP 8
Záhlaví VCMP 23
Záhlaví dat VCMP 8
Celkem (Total) 59

Zjišťování MTU cesty

Poté, co je stanoveno, jaká nadstavba se použije, musí Zařízení SD-WAN Edge zjistit maximální přípustnou MTU, aby se vypočítala efektivní MTU pro pakety zákazníků. Chcete-li zjistit maximální přípustnou MTU, provede Edge zjišťování MTU cesty:

  • Pro veřejné internetové linky WAN:
    • Zjišťování MTU cesty se provádí pro všechny brány.
    • MTU pro všechna tunelová propojení bude nastavena na minimální zjištěnou MTU.
  • Privátní linky WAN:
    • Zjišťování MTU cesty se provádí pro všechny ostatní Edge v síti zákazníka.
    • MTU pro každé tunelové propojení je nastavena na základě výsledků zjišťování MTU cesty.

Edge se nejprve pokusí o zjišťování MTU cesty RFC 1191, kde je paket aktuální známé linky MTU (výchozí: 1500 bytů) odeslán partnerovi s bitem „Nefragmentovat (Don‘t Fragment)“ (DF) nastaveným v záhlaví IP adresy. Pokud je tento paket přijat na vzdáleném Edge nebo bráně, bude Edge vrácen potvrzující paket téže velikosti. Pokud paket nemůže dosáhnout vzdáleného Edge nebo brány z důvodu omezení MTU, očekává se, že zprostředkující zařízení odešle zprávu „cíl ICMP nedosažitelný“ (je třeba fragmentace). Jakmile Edge přijme zprávu o nedosažitelnosti ICMP, ověří zprávu (aby bylo zajištěno, že hlášená hodnota MTU je v pořádku), a jakmile bude ověřená, upraví MTU. Proces se poté opakuje, dokud nebude zjištěna MTU.

V některých případech (jako např. hardwarové klíče USB LTE) neodešle zprostředkující zařízení zprávu o nedosažitelnosti ICMP, i když je paket příliš velký. Pokud se RFC 1191 nezdaří (Edge neobdržel potvrzení nebo je ICMP nedosažitelný), vrátí se zpět ke zjišťování paketizační vrstvy cesty RFC 4821 MTU. Edge se pokusí provést binární vyhledávání pro zjištění MTU.

Když je u partnera zjištěna MTU, všechna tunelová propojení na tohoto partnera jsou nastavena na stejnou MTU. To znamená, že pokud má Edge jednu linku s MTU 1 400 bytů a jednu linku s MTU 1 500 bytů, budou mít všechna tunelová propojení MTU 1 400 bytů. Tím se zajistí, že pakety mohou být odesílány v kterémkoli tunelovém propojení kdykoli pomocí stejné MTU. Tento způsob nazýváme Efektivní MTU Edge (Effective Edge MTU). Na základě cíle (VPN nebo vícecestný internet) se výše uvedená nadstavba odečte pro výpočet efektivní MTU paketu (Effective Packet MTU). U přímého internetového nebo jiného podřízeného provozu má nadstavba velikost 0 bytů a protože není vyžadováno převzetí služeb při selhání, je efektivní MTU paketu totožná se zjištěnou MTU linky WAN.

Poznámka: Zjišťování paketizační vrstvy cesty RFC 4821 MTU VMware bude měřit MTU na minimálně 1 300 bytů. Pokud je MTU nižší než 1 300 bytů, je nutné MTU nakonfigurovat ručně.

Provoz VPN a MTU

Nyní, když Zařízení SD-WAN Edge zjistil MTU a vypočítal velikost nadstavby, lze pro provoz klienta vypočítat efektivní MTU. Edge se bude snažit prosazovat tuto MTU co nejefektivněji pro různé možné typy přijatého provozu.

Provoz TCP (TCP Traffic)

Edge automaticky provede úpravu TCP MSS (maximální velikost segmentu) pro přijaté pakety TCP. Protože pakety SYN a SYN|ACK procházejí přes Edge, MSS se přepisuje na základě efektivní MTU paketu.

Provoz jiný než TCP bez nastaveného bitu DF (Non-TCP Traffic without DF bit set)

Pokud je paket větší než efektivní MTU paketu, Edge automaticky provede fragmentaci IP adresy podle RFC 791.

Provoz jiný než TCP s nastaveným bitem DF (Non-TCP Traffic with DF bit set)

Pokud je paket větší než efektivní MTU paketu:

  • Při prvním přijetí paketu pro tento tok (IP 5-tuple) Edge paket zahodí a odešle zprávu o nedosažitelnosti cíle ICMP (je třeba fragmentace) podle RFC 791.
  • Pokud jsou následující pakety přijaty pro stejný tok, který je stále příliš velký, jsou tyto pakety fragmentovány do více paketů VCMP a před předáním na vzdáleném konci transparentně sestaveny.