Koneksi IPsec-VPN dapat digunakan untuk mentransmisikan paket yang terfragmentasi, tetapi tidak dapat melakukan fragmentasi atau menyusun ulang fragmen dari paket. Saat menggunakan IPsec-VPN, protokol IPsec mengenkripsi paket, sehingga meningkatkan ukuran paket. Ukuran paket yang bertambah mungkin melebihi unit transmisi maksimum (MTU) suatu jaringan dan memengaruhi transmisi paket. Topik ini menjelaskan cara mengonfigurasi MTU untuk memastikan bahwa paket dapat ditransmisikan sesuai harapan.
Prinsip
Gambar di atas memberikan contoh prinsip konfigurasi MTU. Dalam contoh ini, pusat data terhubung ke virtual private cloud (VPC) melalui koneksi IPsec-VPN. Saat klien mengakses VPC, paket dienkripsi pada perangkat gateway lokal dan ditransmisikan ke Internet. Paket tersebut kemudian ditransmisikan ke gateway VPN melalui perangkat jaringan yang mendukung akses Internet, yaitu Router 2 dan Router 3.
Selama transmisi paket dari klien ke gateway VPN, ukuran paket dibatasi oleh jenis MTU berikut:
User MTU
User MTU adalah MTU minimum dari semua antarmuka perangkat jaringan antara klien dan perangkat gateway lokal. User MTU membatasi ukuran paket yang dikirim oleh klien.
Dalam contoh ini, user MTU adalah MTU minimum dari antarmuka yang ditandai "1".
Public Interface MTU
Public Interface MTU adalah MTU dari antarmuka publik pada perangkat gateway lokal yang terhubung ke gateway VPN. Public Interface MTU membatasi ukuran paket yang dienkripsi.
Dalam contoh ini, public interface MTU adalah MTU dari antarmuka yang ditandai "2".
Path MTU
Path MTU adalah MTU minimum dari semua antarmuka perangkat jaringan yang mendukung akses Internet. Path MTU membatasi ukuran paket yang dienkripsi.
Anda dapat berkonsultasi dengan penyedia layanan Internet (ISP) mengenai path MTU. Secara default, path MTU Ethernet adalah 1.500 byte.
Dalam contoh ini, path MTU adalah MTU minimum dari antarmuka yang ditandai "3".
Untuk memastikan bahwa paket dapat ditransmisikan sesuai harapan, Anda harus mengonfigurasi user MTU dan public interface MTU di pusat data. Pastikan bahwa MTU memenuhi kondisi berikut:
User MTU maksimum = Min {Public interface MTU, path MTU} - 101. #101 menunjukkan jumlah maksimum byte dari paket yang dienkripsi oleh IPsec.Jika gateway VPN Anda dibuat sebelum 1 April 2021, dan user MTU yang dikonfigurasi di pusat data lebih besar dari 1.300 byte, koneksi IPsec-VPN mungkin gagal. Dalam hal ini, kami sarankan Anda memperbarui gateway VPN Anda ke versi terbaru. Untuk informasi lebih lanjut, lihat Tingkatkan gateway VPN.
Contoh
Gambar di atas memberikan contoh di mana path MTU adalah 1.500 byte dan public interface MTU dari perangkat gateway lokal diatur ke 1.500 byte. Anda dapat menghitung user MTU maksimum menggunakan rumus berikut:
User MTU maksimum = min {1.500,1.500} - 101 = 1.500 - 101 = 1.399 byteDalam kasus ini, disarankan agar Anda mengirim paket yang tidak melebihi 1.399 byte dari klien. Jika tidak, paket mungkin gagal ditransmisikan.
Konfigurasi MSS
Jika lalu lintas TCP ditransmisikan melalui koneksi IPsec-VPN dan Anda tidak ingin paket ditransmisikan dalam segmen, pastikan bahwa ukuran segmen maksimum (MSS) dan user MTU memenuhi kondisi berikut:
MSS = User MTU - Ukuran header paket IP - Ukuran header paket TCPSebagai contoh, jika public interface MTU dan path MTU keduanya 1.500 byte, user MTU maksimum adalah 1.399 byte, dan ukuran header paket IP serta header paket TCP masing-masing 20 byte. Untuk memastikan bahwa paket tidak disegmentasi, MSS tidak boleh melebihi 1.359 byte.