VMware, podobně jako jakékoli překrytí, doplňuje k provozu, který projde sítí, dodatečnou nadstavbu. Tato část nejprve popisuje nadstavbu přidanou v tradiční síti IPsec a způsob, jakým se bude porovnávat s VMware. Následuje vysvětlení toho, jak tato přidaná nadstavba souvisí se službou MTU a chováním fragmentace paketů v síti.
Nadstavba tunelového propojení IPsec
- Vyplňování (Padding)
- AES šifruje data v 16bytových blocích, označovaných jako „bloková“ velikost.
- Pokud je tělo paketu menší nebo nedělitelné blokovou velikostí, vyplní se tak, aby odpovídalo velikosti bloku.
- Příklady:
- 1bytový paket se stane 16bytovým s 15bytovou výplní.
- 1 400bytový paket se stane 1 408bytovým s 8bytovou výplní.
- 64bytový paket nepotřebuje žádnou výplň.
- Záhlaví a zápatí IPsec (IPsec headers and trailers):
- Záhlaví UDP pro NAT Traversal (NAT-T).
- Záhlaví IP pro režim tunelového propojení IPsec.
- Záhlaví a zápatí ESP.
Prvek | Velikost v bytech |
---|---|
Záhlaví IP adresy | 20 |
Záhlaví UDP | 8 |
Číslo sekvence IPsec | 4 |
SPI IPsec | 4 |
Inicializační vektor | 16 |
Vyplňování | 0 – 15 |
Délka vyplňování | 1 |
Další záhlaví | 1 |
Autentizační data | 12 |
Celkem (Total) | 66 až 81 |
Nadstavba tunelového propojení VMware
Za účelem podpory funkce Dynamic Multipath Optimization™ (Dynamická optimalizace více cest) VMware zapouzdřuje pakety do protokolu nazývaného VeloCloud Multipath Protocol (Vícecestný protokol VeloCloud). VCMP přidává 31 bytů nadstavby pro uživatelské pakety na podporu sekvencování, oprav chyb, analýzy sítě a segmentace sítě v jednom tunelovém propojení. VCMP pracuje na portu UDP 2426 registrovaném v IANA. Aby bylo zajištěno konzistentní chování ve všech potenciálních scénářích (nešifrované, šifrované a za NAT, šifrované, ale ne za NAT), je VCMP šifrován pomocí přenosového režimu IPsec a vynutí NAT-T se speciálním portem 2426 NAT-T.
Pakety odeslané do internetové sítě prostřednictvím brány SD-WAN nejsou ve výchozím nastavení šifrovány, protože po opuštění brány budou vystupovat do otevřené internetové sítě. V důsledku toho je nadstavba na internetový vícecestný provoz menší než na provoz VPN.
Provoz VPN (VPN Traffic)
Prvek | Velikost v bytech |
---|---|
Záhlaví IP adresy | 20 |
Záhlaví UDP | 8 |
Číslo sekvence IPsec | 4 |
SPI IPsec | 4 |
Záhlaví VCMP | 23 |
Záhlaví dat VCMP | 8 |
Inicializační vektor | 16 |
Vyplňování | 0 – 15 |
Délka vyplňování | 1 |
Další záhlaví | 1 |
Autentizační data | 12 |
Celkem (Total) | 97 – 112 |
Vícecestný internetový provoz (Internet Multipath Traffic)
Prvek | Velikost v bytech |
---|---|
Záhlaví IP adresy | 20 |
Záhlaví UDP | 8 |
Záhlaví VCMP | 23 |
Záhlaví dat VCMP | 8 |
Celkem (Total) | 59 |
Dopad tunelu IPv6 na MTU
VMware SD-WAN podporuje adresy IPv6 ke konfiguraci rozhraní Edge a nastavení překrytí WAN Edge.
Tunel VCMP lze nastavit v následujících prostředích: pouze IPv4, pouze IPv6 a duální sestava. Další informace naleznete v tématu Nastavení IPv6.
Pokud má větev alespoň jeden tunel IPv6, DMPO používá tento tunel bez problému společně s ostatními tunely IPv4. Pakety pro jakýkoliv konkrétní tok dat mohou na základě stavu tunelu v reálném čase využít libovolného tunelu IPv4 nebo IPv6. Příkladem konkrétního toku je hodnocení výběru cesty pro provoz vyrovnávání zatížení. V takových případech by měla být vzata v úvahu zvýšená velikost záhlaví IPv6 (dalších 20 bajtů); v důsledku toho bude efektivní cesta MTU menší o 20 bajtů. Tato menší efektivní MTU bude dále propagována na jiné vzdálené větve prostřednictvím brány, aby příchozí směru do této místní větve z jiných vzdálených větví odrážely sníženou MTU.
Zjišťování MTU cesty (Path MTU Discovery)
Poté, co je stanoveno, jaká nadstavba se použije, musí SD-WAN Edge zjistit maximální přípustnou MTU, aby se vypočítala efektivní MTU pro pakety zákazníků. Chcete-li zjistit maximální přípustnou MTU, provede Edge zjišťování MTU cesty:
- Pro veřejné internetové linky WAN:
- Zjišťování MTU cesty se provádí pro všechny brány.
- MTU pro všechna tunelová propojení bude nastavena na minimální zjištěnou MTU.
- Privátní linky WAN:
- Zjišťování MTU cesty se provádí pro všechny ostatní Edge v síti zákazníka.
- MTU pro každé tunelové propojení je nastavena na základě výsledků zjišťování MTU cesty.
Edge se nejprve pokusí o zjišťování MTU cesty RFC 1191, kde je paket aktuální známé linky MTU (výchozí: 1500 bytů) odeslán druhé straně s bitem „Nefragmentovat (Don‘t Fragment)“ (DF) nastaveným v záhlaví IP adresy. Pokud je tento paket přijat na vzdáleném Edge nebo bráně, bude Edge vrácen potvrzující paket téže velikosti. Pokud paket nemůže dosáhnout vzdáleného Edge nebo brány z důvodu omezení MTU, očekává se, že zprostředkující zařízení odešle zprávu „cíl ICMP nedosažitelný“ (je třeba fragmentace). Jakmile Edge přijme zprávu o nedosažitelnosti ICMP, ověří zprávu (aby bylo zajištěno, že hlášená hodnota MTU je v pořádku), a jakmile bude ověřená, upraví MTU. Proces se poté opakuje, dokud nebude zjištěna MTU.
V některých případech (jako např. hardwarové klíče USB LTE) neodešle zprostředkující zařízení zprávu o nedosažitelnosti ICMP, i když je paket příliš velký. Pokud se RFC 1191 nezdaří (Edge neobdržel potvrzení nebo je ICMP nedosažitelný), vrátí se zpět ke zjišťování paketizační vrstvy cesty RFC 4821 MTU. Edge se pokusí provést binární vyhledávání pro zjištění MTU.
Když je u druhé strany zjištěna MTU, všechna tunelová propojení na tuto druhou stranu jsou nastavena na stejnou MTU. To znamená, že pokud má Edge jednu linku s MTU 1 400 bytů a jednu linku s MTU 1 500 bytů, budou mít všechna tunelová propojení MTU 1 400 bytů. Tím se zajistí, že pakety mohou být odesílány v kterémkoli tunelovém propojení kdykoli pomocí stejné MTU. Tento způsob nazýváme Efektivní MTU Edge (Effective Edge MTU). Na základě cíle (VPN nebo vícecestný internet) se výše uvedená nadstavba odečte pro výpočet efektivní MTU paketu (Effective Packet MTU). U přímého internetového nebo jiného podřízeného provozu má nadstavba velikost 0 bytů a protože není vyžadováno převzetí služeb při selhání, je efektivní MTU paketu totožná se zjištěnou MTU linky WAN.
Provoz VPN a MTU
Nyní, když zařízení SD-WAN Edge zjistilo MTU a vypočítalo velikost nadstavby, lze vypočítat efektivní MTU pro klientský provoz. Edge se bude snažit prosazovat tuto MTU co nejefektivněji pro různé možné typy přijatého provozu.
Provoz TCP (TCP Traffic)
Edge automaticky provede úpravu TCP MSS (maximální velikost segmentu) pro přijaté pakety TCP. Protože pakety SYN a SYN|ACK procházejí přes Edge, MSS se přepisuje na základě efektivní MTU paketu.
Provoz jiný než TCP bez nastaveného bitu DF (Non-TCP Traffic without DF bit set)
Pokud je paket větší než efektivní MTU paketu, Edge automaticky provede fragmentaci IP adresy podle RFC 791.
Provoz jiný než TCP s nastaveným bitem DF (Non-TCP Traffic with DF bit set)
Pokud je paket větší než efektivní MTU paketu:
- Při prvním přijetí paketu pro tento tok (IP 5-tuple) Edge paket zahodí a odešle zprávu o nedosažitelnosti cíle ICMP (je třeba fragmentace) podle RFC 791.
- Pokud jsou následující pakety přijaty pro stejný tok, který je stále příliš velký, jsou tyto pakety fragmentovány do více paketů VCMP a před předáním na vzdáleném konci transparentně sestaveny.