MTU và “DF flag” best practice on VNG Cloud
Last updated
Last updated
Địa chỉ
VNG CorporationDefault MTU trên môi trường Internet là 1500 bytes, tuy nhiên công nghệ ảo hóa yêu cầu đóng gói thêm một số Extended Headers, điều này làm cho giá trị thực tế sẽ < 1500 bytes.
Hiện tại hạ tầng VNG Cloud đang hỗ trợ tốt ở giá trị Interface MTU 1450 bytes, do đó sau quá trình đóng gói các protocol/application headers, gói tin được gửi ra khỏi VM được khuyến cáo nên ≤ 1450 bytes (1).
Việc VM gửi ra các gói có MTU lớn hơn giá trị MTU đang hỗ trợ dẫn đến hiện tượng “packet fragmentation”, gói tin gốc sẽ được chia thành nhiều gói nhỏ hơn truyền đi và ghép lại khi đến đích, đây là một quá trình hoàn toàn bình thường xảy ra khi dữ liệu được truyền trên môi trường Internet. “Packet fragmentation” sẽ đáp ứng phần lớn nhu cầu của khách hàng.
Tuy nhiên, đối với một số dịch vụ đặc thù như Voice SIP(UDP), VPN Tunnel (IPSec/GRE), có 2 vấn đề thường xuyên dẫn đến issues:
Các gói tin được truyền đi với cờ "Do Not Fragment" (DF flag) (2).
Custom SIP Headers hoặc IPSec/GRE Headers được thêm vào gói tin gốc, làm cho kích thước gói tin lớn hơn 1450 Bytes.
Khi cả hai điều kiện trên xảy ra đồng thời, hạ tầng có thể bỏ qua gói tin ra khỏi máy ảo.
Vì thế VNG Cloud khuyến khích khách hàng chủ động giảm giá trị MTU khi khởi tạo, nếu có sử dụng các “dịch vụ nhạy cảm về MTU và yêu cầu “DF flag”” theo một trong các cách như sau để hạn chế rủi ro khi sử dụng dịch vụ:
Thay đổi cấu hình Application/Service để loại bỏ các Headers không cần thiết (ví dụ custom SIP Headers, IPSec Authentication and Encryption Algorithm).
Thay đổi MTU của VM (đối với các VM sử dụng custom flavor của KH không theo chuẩn chung VNG Cloud) về 1450 (hoặc nhỏ hơn nếu cần).
PFSense: WEB UI - Interfaces - WAN - MTU = 1450
FortiGate CLI:
Ubuntu/Linux
Liên hệ đội ngũ support qua Portal Lưu ý: (1) đối với các IPSec Tunnel yêu cầu xác thực và mã hóa cao, giá trị Headers có thể lên đến hơn 100 bytes, do đó tùy theo nhu cầu sử dụng, khách hàng nên lựa chọn giá trị MTU phù hợp 1200 – 1300 – 1450 bytes. Bảng dưới mô tả ví dụ IPSec Headers Size được thêm vào làm ảnh hưởng đến giá trị MTU thực tế đối với gói tin có Payload ban đầu 1340 bytes.
Payload
Size
New IPv4 Header for IPsec
20
AH Header
12
Next Header - 1
Payload - 1
Reserved - 2
SPI - 4
Sequence - 4
AH Digest
12
ESP Header
8
SPI - 4
Sequence - 4
ESP IV
16
Original IPv4 Header
20
Original IPv4 Payload
1320
ESP Trailer
36
ESP Pad - 2
Pad Length - 1
Next Header - 1
ESP ICV - 32
Total IPsec Packet Size sending out from VM
1444
Bảng 1: Không enable NAT-T và không enable GRE
Payload
Size
New IPv4 Header for IPsec
20
UDP Header (NAT-T)
8
AH Header
12
Next Header - 1
Payload - 1
Reserved - 2
SPI - 4
Sequence - 4
AH Digest
12
ESP Header
8
SPI - 4
Sequence - 4
ESP IV
16
Original IPv4 Header
20
Original IPv4 Payload
1320
ESP Trailer
36
ESP Pad - 2
Pad Length - 1
Next Header - 1
ESP ICV - 32
Total IPsec Packet Size sending out from VM
1452
Bảng 2: Enable NAT-T và không enable GRE
Payload
Size
New IPv4 Header for IPsec
20
UDP Header (NAT-T)
8
AH Header
12
Next Header - 1
Payload - 1
Reserved - 2
SPI - 4
Sequence - 4
AH Digest
12
ESP Header
8
SPI - 4
Sequence - 4
ESP IV
16
New IPv4 Header for GRE
20
GRE Header + Tunnel Key
8
Original IPv4 Header
20
Original IPv4 Payload
1320
ESP Trailer
40
ESP Pad - 6
Pad Length - 1
Next Header - 1
ESP ICV - 32
Total IPsec Packet Size sending out from VM
1484
Bảng 3: Enable NAT-T và GRE
