In sommige gevallen raden wij aan om TCP segmentation offload, ook bekend als TCP offloading, uit te zetten. Dit geldt bijvoorbeeld bij performance problemen met pfSense. Maar... wat is TCP offloading en waarom zou je het aan of uit zetten?
TL-DR; TCP offloading splitst netwerkverkeer in MTU-formaat delen. Dit moet enkel vanaf de end-point server gebeuren. Een firewall moet geen TCP offloading gebruiken omdat de servers er achter de TCP offloading al uitvoeren.
Wat is TCP offloading?
TCP offloading zorgt ervoor dat je netwerk adapter (NIC) netwerk packets opsplitst in delen van maximaal het MTU-formaat (Maximum Transmission Unit). Het MTU-formaat is de maximale grootte in bytes van een netwerk packet of frame, die in een packet-of frame netwerk gestuurd kan worden. Stel dat je een website bezoekt, dan wordt de inhoud van de website in packets verdeeld en doorgestuurd. Die packets kunnen ieder niet groter zijn dan het MTU-formaat.
Je controleert je MTU-waarde bijvoorbeeld met het commando 'ip a' in Linux (hier is het MTU-formaat 1500 bytes):
Wel of geen TCP offloading
Gebruik je geen TCP offloading, dan zorgt je OS in plaats van je NIC (network interface controller) voor het opsplitsen van packets in delen van maximaal het MTU-formaat.TCP-offloading kan dus zorgen voor betere performance van je server: In plaats van je CPU zorgt andere hardware (de NIC) voor het opsplitsen van packets.
TCP offloading kun je het beste enkel laten uitvoeren vanaf de end-point server, oftewel de server die bepaalde content (e.g. een website) aanbiedt. Stel dat je bijvoorbeeld een firewall hebt met 10 servers daar achter. Het is dan af te raden om TCP offloading aan te zetten op de firewall. Niet alleen passen die 10 servers zelf individueel al TCP offloading toe, maar met TCP offloading aan probeert je firewall dat dan ook nog eens te doen voor 10 servers. Daarmee zou je firewall dus 10 keer zoveel werk verzetten voor de TCP offloading dan de servers er achter. Daarnaast gaat het ook nog om packets die niet eens van de firewall zelf oorspronkelijk afkwamen.
TCP offloading is een zeer nuttige techniek, maar op een firewall heeft het dus een negatieve impact op de performance van de firewall en daarmee je netwerk in zijn geheel. Het is daarom aan te raden TCP offloading enkel toe te passen op de end-point servers. Het staat doorgaans standaard aan in je OS en je hoeft het TCP offloading dan ook enkel op je firewalls uit te zetten.
Daarmee zijn we aan het eind van dit artikel gekomen. Mocht je aan de hand van deze handleiding nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.