2020.06.26 (Fri)

Tech-Community for VPN（第2回）

「フレッツ・VPN プライオ」でVPN装置（CPE）下部へルータを設置する場合のMTU値設定について

「フレッツ・VPN プライオ」のVPN装置（CPE）下部にルータを設置し、通信させる場合において、適切なMTU（MSS）値^※を設定していない場合、スループットが低下したり通信ができなくなるなど、通信不具合が起こる可能性があります。
本コラムでは、適切なMTU（MSS）値を設定している場合と設定していない場合でのスループット及びパケットキャプチャの差分と、適切なMTU（MSS）値について紹介します。

1．MTU値とフラグメント（断片化）について

①適切なMTU（1444byte以下）

正常に通信が可能となります。

②適切値より大きなMTU（1444byteより大きい）

フラグメント処理がルータ負荷を上昇させ、転送速度を低下させます。
パケット数が増えるため、TCPの場合は再送処理が起こる可能性が高くなります。
データによっては、分割禁止設定がされていて通信自体ができないこともあります。

2．スループット測定結果とパケットキャプチャ（WireShark）

※PC2からPC1へデータ送信した際の検証結果

①適切なMTU（MTU=1424の場合）

速度測定ツール「iPerf」による実効スループット結果

[1コネクション] 　69.6 Mbits/sec
[8コネクション]　 374 Mbits/sec
[32コネクション]　424 Mbits/sec

パケットキャプチャツール「WireShark」によるキャプチャ結果

②適切値より大きなMTU（MTU設定しない場合）

速度測定ツール「iPerf」による実効スループット結果

[1コネクション] 　64.4 Mbits/sec
[8コネクション] 　140 Mbits/sec
[32コネクション] 139 Mbits/sec

適切なMTUの時と比較して、35％程度にスループットが低下

パケットキャプチャツール「WireShark」によるキャプチャ結果

① Fragmented IP protocolを観測

※
トンネルのプロトコルやルータ機種によっては、「Fragmented IP Protocol」として観測できない場合もあります。
※
SourceとDestinationのIPアドレスが他のパケットと異なって見えていますが、 Wiresharkの画面表示上の仕様です（カプセル化前後のアドレス表記の違いのみ）

3．適切なMTU値（MSS）

	IPsec（AES）	IPIP	GRE
YAMAHA RTX1210	MTU=1374byte （tunnelインターフェースに設定）	MTU=1424byte （tunnelインターフェースに設定）	未対応
富士通 Si-R G110B	MTU=1374byte MSS=1334byte （tunnelインターフェースに設定）	MTU=1424byte MSS=1384byte （tunnelインターフェースに設定）	未対応
CISCO C891 C1111	MTU=1374byte （tunnelインターフェースに設定） MSS=1334byte （VLAN1インターフェースに設定）	ー	MSS=1380byte （VLAN1インターフェースに設定）
NEC IX2106	ー	ー	自動調整^※1

※1　
自動調整：WANインタフェースにMTU=1444を設定すると、自動的にトンネルインタフェースMTU値が計算され適用されます。
※
従来のIpsecトンネルの代わりにダイナミックVPNにて実施。詳細は設定例をご参照下さい。
※
「ー」は未検証

4．まとめ

適切なMTU値を適切なインタフェースに設定することで、フレッツ・VPN プライオ網内のフラグメントを防ぎ、スループットが低下したり通信ができなくなる等の通信不具合を防ぐことが可能となります。検証結果によると、MTU値設定誤りによって、実効スループットが35％程度まで低下してしまう場合があるため、ルータへ設定を入れる際はご注意ください。