Beaucoup d'administrateurs continuent de perpétuer - sur Serverfault et ailleurs - quelle est la mauvaise idée de la TCP-Over-TCP, par exemple. en VPNS. Que même la moindre perte de paquets fera que l'on souffre d'une dégradation du débit au moins sévère sinon TCP _ fusion et que TCP-Over-TCP est donc strictement à éviter. Et cela était probablement une fois tout le vrai, par ex. 2001 Quand Cet article a été écrit qui est toujours mentionné.
Mais depuis lors, nous avons connu des avancées majeures de la technologie et des protocoles. De nos jours, nous avons des "ack sélectifs" mis en œuvre presque partout et la loi de Moore nous a donné beaucoup plus de mémoire, et il est devenu grand TCP tampons optimisés pour les liaisons montantes GBIT. De plus, la perte de paquets est beaucoup moins un problème de nos jours sur des liaisons non radio. Tout cela devrait atténuer considérablement le problème du TCP-Over-TCP, n'est-ce pas?
Notez qu'il existe des scénarios du monde réel où par exemple. Les VPN basés sur TCP sont plus faciles à mettre en œuvre et à opérer que ceux UDP/ESP (voir plus ci-dessous). Donc ma question:
Dans quelles circonstances (link paquet de latence) est TCP-Over-TCP effectuant considérablement pire que TCP seul, supposant que le support de sac et la taille décemment TCP tampons sur les deux extrémités ?
Il serait donc génial de voir certaines mesures qui montrent les corrélations entre la perte/la latence de la paquette (connexion extérieure) et (connexion intérieure) Débit/gigue - pour TCP-Over-TCP, et pour TCP seul. J'ai trouvé Cet article intéressant , mais il semble être préoccupé par la latence uniquement et ne pas adresser une perte de paquets (extérieure).
Aussi: Existe-t-il des paramètres recommandés (par exemple TCP Options, des paramètres de mémoire tampon, réduisant les MTU/MSS, etc.) pour réduire l'écart de performance entre TCP et TCP-Over-TCP?
Mise à jour: notre justification.
Cette question est toujours très pertinente dans certains scénarios du monde réel. Par exemple. Nous déployons des périphériques embarqués dans de grands bâtiments qui collectent des données de capteur et la nourrissent dans notre plate-forme via VPN. Le problème auquel nous sommes confrontés est des pare-feu et des liaisons montées mal configurées qui ne sont pas sous notre contrôle, associées à des services informatiques réticents. Voir un exemple détaillé discuté ici .
Dans beaucoup de tels cas, passez de non-TCP à un VPN basé sur TCP (très facile si vous utilisez OpenVPN comme US) est une solution rapide qui nous permet d'éviter d'éviter des batailles de pointe de doigt. Par exemple. Souvent TCP Port 443 est généralement autorisé (au moins via proxy), ou nous pouvons surmonter les problèmes de path-MTU en réduisant simplement l'option MSS de TCP.
Il serait bon de savoir dans quelles circonstances un VPN basé sur TCP peut être considéré comme une alternative viable, afin que nous puissions prendre une décision éclairée sur les avantages et les inconvénients de l'une ou l'autre option. Par exemple, nous savons que TCP-VPN est ok pour nous sur des liaisons non radio, mais nous avons une part juste des clients distants sur les liaisons montantes 3G avec une perte de paquets importante et une latence élevée - comment un VPN TCP-VPN pourrait-il y arriver?
J'ai essayé d'améliorer le titre et la question centrale en conséquence; J'espère que ça a du sens.
Je pense que c'est en fait plus débattu que ce que vous le faites apparaître. Il y a une FAQ linux linge associé: http://www.tldp.org/howto/vpn-howto/
J'ai utilisé un PPP-Over-SSH-Over-ADSL depuis plus de 12 ans et je ne me suis jamais manqué de moi, alors de mon expérience, j'oserais dire que les doomsayeurs sont probablement largement exagéré. TCP Over TCP est probablement une mauvaise idée avec RTC Connections, liens satellites et autres liens avec un débit très bas ou Très long délai, mais pour la plupart des utilisations ne fonctionne que .
Maintenant, la vraie question est la suivante: pourquoi utiliseriez-vous TCP Over TCP Quand j'ai mis en place mon PPP-Over-Ssh, c'était en grande partie parce que c'est de loin le moyen le plus simple de construire un VPN rapide; puis je l'ai utilisé depuis de la paresse.
De nos jours, il existe des outils pratiques et faciles à configurer tels que OpenVPN, IPsec VPNS afin de ne pas avoir besoin de vous déranger avec ce problème TCP-Over-TCP.