Fachbegriffe

Last change on 2025-10-07 • Created on 2025-04-25 • ID: NE-A1F7B

Paketgrößen, MTU und MSS

Um Daten zwischen zwei verschiedenen Systemen zu übermitteln, werden Pakete verwendet. Die maximale Paketgröße, die über ein Netzwerk übertragen werden kann (Maximum Transmission Unit — MTU) hängt von den zugrunde liegenden Netzwerkkapazitäten ab.

Wenn ein Paket über unser Hetzner Netzwerk übertragen wird, erhält dieses von uns zusätzliche Header, um es von anderen Netzwerken unterscheiden zu können.

Dadurch ergeben sich folgende Limits für Pakete, die über unsere privaten Netzwerke übertragen werden:

Paket in Privatem Netzwerk (HTTP, FTP)
50 Bytes
20 Bytes
20 Bytes
1410 Bytes (MSS)
Priv. Netzwerk
Header
IP Header
TCP Header
User Data / Payload

1450 Bytes (MTU)

Paket in Privatem Netzwerk (ping)
50 Bytes
20 Bytes
8 Bytes
1422 Bytes (ICMP payload)
Priv. Netzwerk
Header
IP Header
ICMP Header
User Data / Payload

1450 Bytes (MTU)

Wenn ein Paket über mehrere verschiedene Schnittstellen übermittelt wird und der MTU-Wert des Pakets weniger oder gleich dem Limit ist, wird es weitergeleitet. Wenn der MTU-Wert des Paket größer ist als das Limit erlaubt, wird das System versuchen IP-Fragmentierung durchzuführen. Wenn das scheitert, wird das Paket verworfen.

Die Paketkonfiguration für eine öffentliche Schnittstelle, die Schnittstelle der Docker-Bridge oder andere Schnittstellen, sieht meist so aus:

Beachten Sie die unterschiedlichen Werte für MSS und MTU im Vergleich zum privaten Netzwerk.

Paket in Öffentlichem Netzwerk (HTTP, FTP)
20 Bytes
20 Bytes
1460 Bytes (MSS)
IP Header
TCP Header
User Data / Payload

1500 Bytes (MTU)

Paket in Öffentlichem Netzwerk (ping)
20 Bytes
8 Bytes
1472 Bytes (ICMP payload)
IP Header
ICMP Header
User Data / Payload

1500 Bytes (MTU)

Path MTU Discovery (PMTUD)

Path MTU Discovery ist ein Systemmechanismus, der dabei hilft die maximale Paketgröße zu bestimmen, die ohne Fragmentierung an ein bestimmtes Ziel übermittelt werden kann.

Wenn ein Paket verworfen wird, weil es zu groß ist und eine ICMP-Fehlermeldung mit der korrekten MTU auslöst, lernt PMTUD die MTU für dieses Ziel und verwendet diese für künftige Pakete. Wenn das nächste Paket weiterhin zu groß ist, da eine andere Zwischenstelle im Pfad eine noch kleinerer MTU besitzt, wird das Paket erneut verworfen und löst eine weitere ICMP-Meldung aus. PMTUD wiederholt diesen Prozess, bis es die kleinste erforderliche MTU für den gesamten Pfad zwischen der Quelle und dem Ziel findet.

Wenn das System keine ICMP-Meldung empfängt oder die Meldung keine MTU enthält, schlägt PMTUD fehl und große Pakete werden weiterhin verworfen. Das kann beispielsweise passieren, wenn das lokale System oder ein Router innerhalb des Paketpfads ICMP-Paket verwirft.

MSS Clamping

Zum Initialisieren der TCP-Verbindung, übermittelt der Client (Sender) ein TCP-SYN-Paket an den Server (Empfänger), das seinen lokalen Wert für MSS enthält. Der Server kennt nun seinen eigenen lokalen MSS-Wert und den Wert, der im TCP-SYN-Paket vom Client angegebenen wurde. Der Server hält sich bei allen Antwortpaketen an den kleineren der beiden Werte. Zusätzlich sendet der Server seinen eigenen lokalen MSS-Wert an den Client.

  • Das TCP-SYN-Paket übermittelt standardmäßig einen MSS-Wert, welcher der MTU von der Schnittstelle entspricht, über die das Paket gesendet wird.
  • Wenn Sie MSS Clamping aktivieren, können Sie einen festen Wert bestimmen, der anstelle vom Default verwendet werden soll.

OSI-Modell

Vereinfachte Erklärung:

Eine Information, die durch ein Netzwerk übermittelt wird, heißt "Protocol Data Unit" (PDU).

PDUSendenEmpfangen
Schicht 7 Die eigentliche Nachricht der Anwendung (HTTP-Anfrage oder andere). Sie sehen an dieser Stelle vermutlich eine lesbare ASCII-Nachricht. Das System sieht rohe Bits (siehe "Bytes to ASCII Converter") und gibt diese weiter.
Schicht 4 Segment Die Daten aus Schicht 7 werden in mehrere Teile, genannt "Chunks", geteilt (Nutzdaten / Payload). Ein TCP-Header (enthält den Quell- und Zielport) wird an dem Chunk hinzugefügt. Der TCP-Header wird von jedem Segment entfernt. Die übrigbleibenden Nutzdaten / Payloads (Chunks) werden wieder zusammengefügt.
Schicht 3 Paket Fügt zu jedem Segment einen IP-Header hinzu (enthält Quell- und Ziel-IP). Legt die Route zum Weiterleiten des Pakets fest. Prüft, ob die Ziel-IP der eigenen IP entspricht.
Wenn ja, wird der IP-Header entfernt und das Paket an Schicht 4 weitergegeben.
Wenn nein, wird das Paket zum nächsten Hop/Router weitergeleitet.
Schicht 2 Frame Fügt an jedes Paket Header (enthält Quell- und Ziel-MAC) und einen Trailer (FCS) hinzu. Verifiziert den Frame mittels Frame Check Sequence (FCS) und prüft die MAC-Adresse. Wenn diese passt, werden die Header und der Trailer entfernt und das Paket an Schicht 3 weitergegeben.
Schicht 1 Bit Übermittelt den Frame als rohen Bitstrom (1 und 0) über ein physisches Medium (z.B. über Elektro-, Licht- oder Funksignale). Diese Schicht interpretiert nicht die Bedeutung der Bits, sondern überträgt diese lediglich mithilfe von Signalen von einem Ort zum anderen. Empfängt Frames als rohen Bitstrom (1 und 0) über ein physisches Medium. Gibt den Bitstrom weiter an Schicht 2.
Vereinfachte Visualisierung
Schicht 7
Rohe Nachricht in Bits 
01000111 01000101 01010100 00100000 0010111...


Schicht 4
Chunks (Größe hängt ab von MTU)
Chunk 1
01000111 01000101
Chunk 2
01010100 00100...
Segment
TCP-Header
Chunk (Nutzdaten)


Schicht 3
Paket
IP-Header
TCP-Header
Chunk (Nutzdaten)


Schicht 2
...11

Ziel-MAC

Quell-MAC

Typ

Paket
IP-Header ● TCP-Header ● Nutzdaten
FCS

Präambel
Frame

Switches und Router

Ein wesentlicher Unterschied zwischen Switches und Routern liegt in der Schicht im OSI-Modell, auf der sie fungieren.

  • Switches fungieren auf Schicht 2 (Ethernet / Data Link Layer):

    On-link (direkte) Kommunikation

    Quelle
    Ziel

    In einem IP-Netzwerk kann ein Node ARP oder Neighbor Discovery verwenden, um die MAC-Adresse des Ziels zu ermitteln. Das ist möglich, wenn der Node entweder direkt mit dem Ziel verbunden ist oder über einen oder mehr Switches.

    In beiden Szenarien wird direkt die MAC-Adresse des Ziels verwendet und der Frame direkt an das Ziel gesendet.


  • Router fungieren auf Schicht 3 (IP / Network Layer):

    Off-link (geroutete) Kommunikation

    Quelle
    Zwischenstelle
    Zwischenstelle
    Ziel

    Die Quelle ist nicht direkt mit dem Ziel verbunden und kann die Ziel-MAC-Adresse nicht über ARP oder Neighbor Discovery (ND) ermitteln. Stattdessen muss die Quelle die MAC-Adresse des Routers (z.B. Default-Gateway) über ARP oder ND ermitteln.

    Die Quelle sendet den Frame an den Router. Der Router bestimmt den nächsten Hop und verwendet (wenn nötig) ARP oder ND, um die MAC-Adresse vom nächsten Hop zu ermitteln. Der Router überschreibt die Frame-Header und ersetzt dabei die Quell-MAC-Adresse mit seiner eigenen und die Ziel-MAC-Adresse mit der des nächsten Hops. Wenn die Ziel-MAC-Adresse und die Ziel-IP-Adresse mit den lokalen Adressen übereinstimmen, hat der Frame den Ziel-Host erreicht. Das Ziel empfängt letztendlich einen Frame, dessen Frame-Header nicht mit denen übereinstimmen, die ursprünglich von der Quelle versendet wurden.

Table of Contents