Επιβάρυνση διοχέτευσης και MTU

Το VMware, όπως κάθε υπέρθεση, επιβάλλει πρόσθετη επιβάρυνση στην κυκλοφορία που διασχίζει το δίκτυο. Αυτή η ενότητα περιγράφει πρώτα την επιβάρυνση που προστίθεται σε ένα παραδοσιακό δίκτυο IPsec και τη σύγκριση με το VMware, η οποία ακολουθείται από μια εξήγηση για το πώς αυτή η πρόσθετη επιβάρυνση σχετίζεται με την MTU και τις συμπεριφορές κατακερματισμού πακέτων στο δίκτυο.

Επιβάρυνση διοχέτευσης IPSec

Σε ένα παραδοσιακό δίκτυο IPsec, η κυκλοφορία μεταφέρεται συνήθως σε διοχέτευση IPsec μεταξύ τελικών σημείων. Ένα τυπικό σενάριο διοχέτευσης IPsec (κρυπτογράφηση AES 128-bit με χρήση ESP [Encapsulating Security Payload]) κατά την κρυπτογράφηση της κυκλοφορίας, έχει ως αποτέλεσμα πολλαπλούς τύπους επιβάρυνσης ως εξής:

Συμπλήρωση
- Το AES κρυπτογραφεί δεδομένα σε μπλοκ 16 byte, που αναφέρεται ως μέγεθος «μπλοκ».
- Εάν το σώμα ενός πακέτου είναι μικρότερο ή αδιαίρετο κατά μέγεθος μπλοκ, συμπληρώνεται ώστε να φτάνει στο μέγεθος μπλοκ.
- Παραδείγματα:
  - Ένα πακέτο 1 byte γίνεται 16 byte με 15 byte συμπλήρωσης.
  - Ένα πακέτο 1.400 byte γίνεται 1.408 byte με 8 byte συμπλήρωσης.
  - Ένα πακέτο 64 byte δεν απαιτεί συμπλήρωση.
Κεφαλίδες και ουρές IPsec:
- Κεφαλίδα UDP για διαπέραση NAT (NAT-T).
- Κεφαλίδα IP για λειτουργία διοχέτευσης IPsec.
- Κεφαλίδα και ουρά ESP.


Στοιχείο	Μέγεθος σε byte
Κεφαλίδα IP	20
Κεφαλίδα UDP	8
Αριθμός ακολουθίας IPsec	4
SPI του IPsec	4
Άνυσμα αρχικοποίησης	16
Συμπλήρωση	0 – 15
Μήκος συμπλήρωσης	1
Επόμενη κεφαλίδα	1
Δεδομένα ελέγχου ταυτότητας	12
Σύνολο	66-81

Σημείωση: Τα παρεχόμενα παραδείγματα προϋποθέτουν ότι τουλάχιστον μία συσκευή βρίσκεται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου. Εάν δεν χρησιμοποιείται μετάφραση διευθύνσεων δικτύου, τότε η επιβάρυνση IPsec είναι μικρότερη κατά 20 byte, καθώς δεν απαιτείται NAT-T. Δεν υπάρχει καμία αλλαγή στη συμπεριφορά του VMware ανεξάρτητα από το αν υπάρχει ή όχι μετάφραση διευθύνσεων δικτύου (το NAT-T είναι πάντα ενεργοποιημένο).

Επιβάρυνση διοχέτευσης VMware

Για την υποστήριξη του Dynamic Multipath Optimization™ (DMPO), το VMware ενσωματώνει τα πακέτα σε πρωτόκολλο που λέγεται πρωτόκολλο πολλαπλών διαδρομών VeloCloud (VCMP). Το VCMP προσθέτει 31 byte επιβάρυνσης για πακέτα χρήστη για υποστήριξη της εκ νέου δημιουργίας ακολουθίας, της διόρθωσης σφαλμάτων, της ανάλυσης δικτύου και της κερματισμού δικτύου μέσα σε μεμονωμένη διοχέτευση. Το VCMP λειτουργεί στην καταχωρημένη στον ΙΑΝΑ θύρα UDP 2426. Για να εξασφαλιστεί συνεπής συμπεριφορά σε όλα τα πιθανά σενάρια (μη κρυπτογραφημένα, κρυπτογραφημένα και πίσω από μετάφραση διευθύνσεων δικτύου, κρυπτογραφημένα αλλά όχι πίσω από μετάφραση διευθύνσεων δικτύου), το VCMP κρυπτογραφείται χρησιμοποιώντας τη λειτουργία μεταφοράς IPsec και αναγκάζει το NAT-T να ισχύει με ειδική θύρα NAT-T, την 2426.

Τα πακέτα που αποστέλλονται στο Internet μέσω της πύλης SD-WAN δεν κρυπτογραφούνται από προεπιλογή, καθώς εξέρχονται προς το ανοιχτό Internet κατά την έξοδο από την πύλη. Ως αποτέλεσμα, η επιβάρυνση για την κυκλοφορία του Internet πολλαπλών διαδρομών είναι μικρότερη από την κυκλοφορία VPN.

Σημείωση: Οι πάροχοι υπηρεσίας έχουν τη δυνατότητα κρυπτογράφησης της κυκλοφορίας Internet μέσω της πύλης και αν επιλέξουν να χρησιμοποιήσουν αυτήν την επιλογή, η επιβάρυνση του VPN ισχύει και για την κυκλοφορία Internet.

Κυκλοφορία VPN (VPN Traffic)


Στοιχείο	Μέγεθος σε byte
Κεφαλίδα IP	20
Κεφαλίδα UDP	8
Αριθμός ακολουθίας IPsec	4
SPI του IPsec	4
Κεφαλίδα VCMP	23
Κεφαλίδα δεδομένων VCMP	8
Άνυσμα αρχικοποίησης	16
Συμπλήρωση	0 – 15
Μήκος συμπλήρωσης	1
Επόμενη κεφαλίδα	1
Δεδομένα ελέγχου ταυτότητας	12
Σύνολο	97 – 112

Κυκλοφορία πολλαπλών διαδρομών Internet (Internet Multipath Traffic)


Στοιχείο	Μέγεθος σε byte
Κεφαλίδα IP	20
Κεφαλίδα UDP	8
Κεφαλίδα VCMP	23
Κεφαλίδα δεδομένων VCMP	8
Σύνολο	59

Επιπτώσεις της διοχέτευσης IPv6 στην MTU

Το VMware SD-WAN υποστηρίζει διευθύνσεις IPv6 για τη διαμόρφωση των διασυνδέσεων Edge και των ρυθμίσεων WAN Overlay του Edge.

Η διοχέτευση VCMP μπορεί να ρυθμιστεί στα ακόλουθα περιβάλλοντα: μόνο IPv4, μόνο IPv6 και διπλής στοίβας. Για περισσότερες πληροφορίες, δείτε Ρυθμίσεις IPv6.

Όταν μια διακλάδωση έχει τουλάχιστον μία διοχέτευση IPv6, το DMPO χρησιμοποιεί αυτήν τη διοχέτευση απρόσκοπτα μαζί με άλλες διοχετεύσεις IPv4. Τα πακέτα για οποιαδήποτε ειδική ροή μπορούν να έχουν οποιαδήποτε διοχέτευση, IPv4 ή IPv6, με βάση την εύρυθμη λειτουργία της διοχέτευσης σε πραγματικό χρόνο. Ένα παράδειγμα ειδικής ροής είναι η βαθμολογία επιλογής διαδρομής για κυκλοφορία με εξισορρόπηση φόρτου. Σε αυτές τις περιπτώσεις, θα πρέπει να ληφθεί υπόψη το αυξημένο μέγεθος για την κεφαλίδα IPv6 (επιπλέον 20 byte) και, ως εκ τούτου, η πραγματική MTU διαδρομής θα είναι μικρότερη κατά 20 byte. Επιπλέον, αυτή η μειωμένη πραγματική MTU θα αναπαραχθεί στις άλλες απομακρυσμένες διακλαδώσεις μέσω της πύλης, έτσι ώστε οι εισερχόμενες δρομολογήσεις σε αυτήν την τοπική διακλάδωση από άλλες απομακρυσμένες διακλαδώσεις να αντικατοπτρίζουν τη μειωμένη MTU.

Εντοπισμός διαδρομής MTU (Path MTU Discovery)

Αφού καθοριστεί πόση επιβάρυνση θα εφαρμοστεί, το SD-WAN Edge πρέπει να ανακαλύψει τη μέγιστη επιτρεπόμενη MTU ώστε να υπολογιστεί η πραγματική MTU για πακέτα πελατών. Για να βρει τη μέγιστη επιτρεπόμενη MTU, το Edge εκτελεί εντοπισμό διαδρομής MTU:

Για συνδέσεις WAN με το δημόσιο Internet:
- Ο εντοπισμός διαδρομής MTU εκτελείται προς όλες τις πύλες.
- Η MTU για όλες τις διοχετεύσεις ορίζεται οριστεί στην ελάχιστη MTU που εντοπίστηκε.
Για συνδέσεις με ιδιωτικό WAN:
- Ο εντοπισμός διαδρομής MTU εκτελείται προς όλα τα υπόλοιπα Edge στο δικτύου του πελάτη.
- Η MTU για κάθε διοχέτευση ορίζεται βάσει των αποτελεσμάτων του εντοπισμού διαδρομής MTU.

Το Edge επιχειρεί πρώτα εντοπισμό διαδρομής MTU RFC 1191 όπου ένα πακέτο της με την τρέχουσα γνωστή MTU της σύνδεσης (Προεπιλογή: 1500 bytes) αποστέλλεται στον ομότιμο υπολογιστή με το bit «Να μην γίνεται κατακερματισμός» (DF) να έχει οριστεί ως ενεργοποιημένο στην κεφαλίδα IP. Εάν αυτό το πακέτο παραληφθεί στο απομακρυσμένο Edge ή Πύλη, επιστρέφεται στο Edge ένα πακέτο επιβεβαίωσης του ίδιου μεγέθους. Εάν το πακέτο δεν μπορεί να φτάσει στο απομακρυσμένο Edge ή πύλη λόγω περιορισμών της MTU, η ενδιάμεση συσκευή αναμένεται να στείλει ένα μήνυμα ότι ο προορισμός ICMP είναι χωρίς δυνατότητα πρόσβασης (απαιτείται κατακερματισμός). Όταν το Edge λάβει το μήνυμα ότι ο προορισμός ICMP είναι χωρίς δυνατότητα πρόσβασης, επικυρώνει το μήνυμα (για να διασφαλίσει ότι η τιμή MTU που αναφέρεται είναι λογική) και μόλις γίνει η επικύρωση, προσαρμόζει τη MTU. Στη συνέχεια, η διεργασία επαναλαμβάνεται μέχρι να γίνει εντοπισμός της MTU.

Σε ορισμένες περιπτώσεις (για παράδειγμα, με dongles USB για LTE), η ενδιάμεση συσκευή δεν αποστέλλει μήνυμα ότι ο προορισμός ICMP είναι χωρίς δυνατότητα πρόσβασης ακόμα κι αν το πακέτο είναι υπερβολικά μεγάλο. Σε περίπτωση αποτυχίας του RFC 1191 (το Edge δεν έλαβε επιβεβαίωση ή όταν ο προορισμός ICMP είναι χωρίς δυνατότητα πρόσβασης), γίνεται επαναφορά στον εντοπισμό διαδρομής MTU επιπέδου πακετοποίησης RFC 4821. Το Edge επιχειρεί να εκτελέσει μια δυαδική αναζήτηση για να εντοπίσει την MTU.

Όταν γίνει εντοπισμός μιας MTU για έναν ομότιμο, όλες οι διοχετεύσεις προς αυτόν τον ομότιμο ορίζονται στην ίδια MTU. Αυτό σημαίνει ότι εάν ένα Edge έχει μία σύνδεση με MTU 1.400 byte και μία σύνδεση με MTU 1.500 byte, όλες οι διοχετεύσεις αποκτούν MTU 1.400 byte. Αυτό εξασφαλίζει ότι τα πακέτα μπορούν να σταλούν μέσω οποιασδήποτε διοχέτευσης ανά πάσα στιγμή χρησιμοποιώντας την ίδια MTU. Αναφερόμαστε σε αυτήν ως Πραγματική MTU Edge (Effective Edge MTU). Με βάση τον προορισμό (VPN ή πολλαπλών διαδρομών Internet) η επιβάρυνση που περιγράφεται προηγουμένως αφαιρείται για να υπολογιστεί η Πραγματική MTU Edge (Effective Packet MTU). Για απευθείας internet ή άλλη κυκλοφορία underlay, η επιβάρυνση 0 byte και επειδή δεν απαιτείται ανακατεύθυνση σύνδεσης, η πραγματική MTU πακέτων είναι ίδια με την MTU σύνδεσης WAN που εντοπίστηκε.

Σημείωση: Ο εντοπισμός διαδρομής MTU επιπέδου πακετοποίησης RFC 4821 μετράει την MTU έως ένα ελάχιστο των 1.300 byte. Εάν η δική σας MTU σας είναι μικρότερη από 1.300 byte, πρέπει να διαμορφώστε την MTU με μη αυτόματο τρόπο.

Κυκλοφορία VPN και MTU

Εφόσον το SD-WAN Edge εντόπισε την MTU και υπολόγισε τις επιβαρύνσεις, μπορεί να υπολογιστεί η πραγματική MTU για την κυκλοφορία του πελάτη. Το Edge προσπαθεί να επιβάλει αυτή την MTU όσο το δυνατόν πιο αποτελεσματικά για τους διάφορους πιθανούς τύπους κυκλοφορίας που λαμβάνονται.

Κυκλοφορία TCP (TCP Traffic)

Το Edge εκτελεί αυτόματα προσαρμογή του TCP MSS (Μέγιστο μέγεθος τμήματος TCP) για τα πακέτα TCP που λαμβάνονται. Καθώς διασχίζουν το Edge πακέτα SYN και SYN|ACK, το MSS ξαναγράφεται με βάση την πραγματική MTU πακέτων.

Κυκλοφορία μη TCP με μη ενεργοποιημένο το bit DF (Non-TCP Traffic without DF bit set)

Εάν το πακέτο είναι μεγαλύτερο από την πραγματική MTU πακέτων, το Edge εκτελεί αυτόματα κατακερματισμό IP σύμφωνα με το RFC 791.

Κυκλοφορία μη TCP με ενεργοποιημένο το bit DF (Non-TCP Traffic with DF bit set)

Εάν το πακέτο είναι μεγαλύτερο από την πραγματική MTU πακέτων:

Την πρώτη φορά που λαμβάνεται πακέτο για αυτήν τη ροή (πεντάδα IP), το Edge απορρίπτει το πακέτο και στέλνει μήνυμα ότι ο προορισμός ICMP είναι χωρίς δυνατότητα πρόσβασης (απαιτείται κατακερματισμός) σύμφωνα με το RFC 791.
Εάν παραλαμβάνονται επακόλουθα πακέτα για την ίδια ροή που εξακολουθούν να είναι υπερβολικά μεγάλα, αυτά τα πακέτα κατακερματίζονται σε πολλαπλά πακέτα VCMP και συναρμολογούνται εκ νέου διαφανώς πριν από την παράδοση στο απομακρυσμένο άκρο.

Περιορισμός πλαισίου jumbo

Το VMware SD-WAN δεν υποστηρίζει πλαίσια jumbo από την έκδοση 5.0 και μετά. Η μέγιστη MTU IP που υποστηρίζεται για πακέτα που αποστέλλονται μέσω του overlay χωρίς κατακερματισμό είναι 1500.