原创 如何跨虚拟专用网络连接到你的RTSA

2022-12-5 09:27 883 1 1 分类: 通信 文集: 频谱监测

虚拟专用网(VPNs)通过公共网络提供跨远程站点的安全链接。VPN协议通常会以无缝专用网络的形式呈现。然而,在处理大数据包时,会出现一些已知的问题,这些问题通常发生在大文件传输和数据流期间,如虹科实时频谱分析仪(RTSA)。本文重点介绍VPN隧道的最大传输单元(MTU)和路径MTU方面,并提供一种解决方案,以减少MTU的方式处理受网络影响的大数据包

概述

虚拟专用网络(VPNs)用于通过不可信的公共网络连接到远程网络。为了安全起见,对这些链接(VPN隧道)进行了身份验证和加密。从路由器的角度来看,隧道类似于物理网络接口,但由于隧道的开销,其容量略有减少。通常,数据通过大小不同的IP数据报在网络上传输。最大IP数据报的大小取决于源和目标之间具有的最小最大传输单元(MTU)的链路。此MTU称为路径MTU(PMTU)

下图是两个远程站点通过VPN隧道连接在一起的典型情况。VPN路由器上的LAN和WAN端口是以太网接口。VPN隧道使用诸如IPsec之类的协议来对两个远程子网之间的数据进行加密和封装。

IP协议被设计为对连接设备透明,而这些设备对LAN外部的网络拓扑没有先验知识。此外,网络条件可以动态更改,因此协议还被设计为在整个连接周期内都是自适应的。

对于专用LAN内的事务,此MTU通常为1500字节,这是传统以太网的有效负载限制。对于跨越更广泛和更多样化网络的事务,数据路径可能会与其他较低的MTUs链路交叉(如无线电链路,串行线路等),从而影响整个PMTU。在上图中,如果PC1连接到名为R5500的虹科RTSA,则PMTU为1500,但如果PC2连接到R5500,则PMTU是低一些的任意数字。IPsec是在IP协议之上分层的协议,该协议允许在公共网络上路由加密的IP数据报。它需占用可用PMTU的额外58-73个开销字节。其他分层协议,如PPPoE,进一步增加了开销。源VPN路由器处理来自本地LAN的传入IP数据报,并准备将其通过公共网络发送。添加了具有公共IP地址的新IP标头,以允许其被公共路由。目标VPN路由器将反向处理,从WAN接收传入的IPsec数据报,并准备将其发送到远程LAN。

由于开销的原因,通常能够满足1500字节限制的大型数据报将不再满足要求。在这种情况下,将需要进行分片化和重组。根据配置和/或应用,VPN路由器可根据数据报大小执行以下操作之一:

a) 无分片对于大多数数据包而言,不需要分片,且IPsec处理非常简单:

b) IPsec加密之前的预分片

但是,对于大小接近MTU的数据包,IPsec处理变得更加复杂。VPN路由器可在IP层上对原始IP数据报进行预分片,然后对各个IP分片进行加密:

c) IPsec分片化之前的IPsec加密

对原始IP数据报进行加密,然后在IPsec层对经过加密的数据进行分片


路径 MTU发现和ICMP

路径MTU发现(PMTUD)是主机用来确定到给定目的地的PMTU的机制。因其计算成本高,故其目的是避免IP分片。它与Internet控制报文协议(ICMP)结合使用,后者是用于在网络节点(路由器和主机)之间发送错误和诊断信息的一组信息。

IP数据报具有一个可选的“不分片”(DF)标志,该标志让路由器了解是否允许IP分片。源主机通过尝试发送设有DF标志的大型IP数据报,以发现PMTU。当中间路由器接收到这样的数据报,而该中间报文由于下一跳较低的MTU无法转发而无法进行分片时,它将发送ICMP消息“目标不可达-需分片但未设置分片”(ICMP类型3 /代码4 )返回给源。然后,源使用逐渐变小的数据报重新发送,直到成功为止,并设置相应的PMTU。如果网络拓扑发生变化,PMTUD将动态运行;它将尝试通过增加PMTU以周期性(每隔几分钟)重新发现PMTU,直到传输再次开始失败。

PMTUD用于发现路由器之间的WAN端口链接的PMTU发现以及通过VPN隧道本身路径的PMTU,PMTUD的这种嵌套使用是有问题的。出于安全原因,许多网络防火墙设置为拒绝来自WAN端口的ICMP信息。充分这样做的话会使PMTUD在整个公共网络中失效。大型数据报可能会于无声中消失,从而形成IP“黑洞”。仅当多次尝试重新传输丢失的数据报也失败时,才在IP层上发现。


解决方案

VPN隧道和PMTUs之间的交互已被详细记录。数据报可能会在没有警告的情况下丢失,从而导致重新传输并最终导致连接失败。避免这些问题的一种方法是人为地减少本地以太网接口本身的MTU,以使PMTU不再依赖于外部因素。MTU值的选取取决于您的特定网络。至少应减少MTU以应对IPsec开销。其他可能影响MTU选择的因素包括:

  • 运行PPPoE的DSL连接
  • 系统管理员减少WAN MTU,以解决WAN链路上的PMTUD问题
  • 虚拟局域网(VLANs)

选择MTU值最方便的方法是反复试验。请注意,将MTU降低到超出所需范围会对总体吞吐量产生影响。虹科RTSA允许使用以下SCPI命令配置其以太网接口MTU:

:SYSTEM:COMMUNICATE:LAN:MTU

更多相关的详细信息,请参阅RTSA的《程序员指南》。

作者: 虹科卫星与无线电通信, 来源:面包板社区

链接: https://mbb.eet-china.com/blog/uid-me-3989649.html

版权声明:本文为博主原创,未经本人允许,禁止转载!

给作者打赏,鼓励TA抓紧创作!

赞赏支持
点赞 1
赞赏0

文章评论0条评论)

登录后参与讨论
相关推荐阅读
虹科卫星与无线电通信 2023-01-16 09:09
深入探讨GNSS仿真及其对测试验证的重要意义
GNSS对于大家来说是个耳熟能详的词汇,那么什么是GNSS仿真?以及GNSS仿真对测试验证有什么重要意义呢?今天我们将围绕这两个问题进行更深入的探讨。介绍简单来说,GNSS模拟器(GNSS Simul...
虹科卫星与无线电通信 2023-01-12 09:28
Q&A | 关于信号发生器的扫频功能,您了解多少?
在上期文章中,我们介绍了可编程信号发生器使用中的相关问题,那么关于便携式信号发生器的扫频功能您是否有很多问题呢,今天我们将围绕信号源扫频功能详细解答大家感兴趣的几个问题,快来看看吧!Q1:是否具备频率...
虹科卫星与无线电通信 2023-01-09 09:15
Q&A | 关于可编程信号发生器,您在使用中可能遇到的问题
Q1:为什么信号源插在电脑上会显示电压不足?A:通常需要比普通电脑USB接口能提供更大的功率,需要高达2.0A的电流,超出了许多老式 USB 端口的水平。可以通过多种方式满足这一要求。适配器、USB ...
虹科卫星与无线电通信 2023-01-05 09:04
关于GNSS关键性能测试了解多少?
现在,GPS/GNSS信号无处不在,而GNSS接收机芯片的低成本和高性能也让在不同设备中安装GNSS接收机变得更为容易。然而,与此同时又存在一个问题,如果想将这些接收器芯片集成到一个设备或系统中,该如...
虹科卫星与无线电通信 2023-01-03 09:29
Q&A | 关于高级硬件在环(HIL)您想要了解的十个问题
HiL(Hardware-in-the-Loop)硬件在环仿真测试系统是采用实时处理器运行仿真模型来模拟受控对象(比如:汽车、航空飞机等设备)的运行状态,以此判断电控模块的性能。虹科Orolia GN...
虹科卫星与无线电通信 2022-12-29 10:37
如何调整参数来更好地使用频谱分析仪
前言使用频谱分析仪,最简单最直观的目的就是寻找并观测范围内的频谱信号,乃至将其保存下来做更进一步的数字处理或分析。因此在除了最基本的中心频率与扫宽设置外,合理使用VBW,RBW等参数设置才能获取更为真...
我要评论
0
1
1
2
3
4
5
6
7
8
9
0
关闭 热点推荐上一条 /3 下一条