「サイレントドロップ」の終焉：Dynamic Path MTU DiscoveryがCloudflare One Clientをより堅牢にする方法

2026-03-05 | Koko Uko、Rhett Griggs、Todd Murray | 4分で読める

このようなサポートチケットを何度も見たことがあるでしょう：ユーザーのインターネット接続が、つい先ほどまでSlackやDNSルックアップで正常に動作していたのに、大きなファイルのアップロード、ビデオ通話への参加、またはSSHセッションの開始を試みた瞬間に突然ハングしてしまう。犯人は通常、帯域幅不足やサービス停止の問題ではなく、「PMTUD Black Hole」です。これは、パケットが特定のネットワークパスに対して大きすぎるにも関わらず、ネットワークがその制限を送信者に伝え返すことができない場合に発生するフラストレーションです。

この状況は、管理していないネットワークや最大転送単位（MTU）制限のあるベンダーの使用を余儀なくされ、問題に対処する手段がない場合によく発生します。

今日、私たちはこれらのレガシーネットワーク制約を乗り越えています。Path MTU Discovery（PMTUD）を実装することで、Cloudflare One Clientは受動的な観察者から能動的なパス発見の参加者へと変化しました。Dynamic Path MTU Discoveryにより、クライアントは1281バイト以上のMTUを使用するほとんどのネットワークパスに対して、最適なパケットサイズにインテリジェントかつ動的に調整できます。これにより、ユーザーが高速企業バックボーンにいても制限の厳しいセルラーネットワークにいても、接続の安定性が確保されます。

「モダンセキュリティとレガシーインフラストラクチャの出会い」という課題

ソリューションを理解するには、モダンセキュリティプロトコルがグローバルインターネットインフラストラクチャの多様性とどのように相互作用するかを見る必要があります。MTUは、デバイスがフラグメンテーションなしにネットワーク経由で送信できる最大データパケットサイズを表します：標準的なEthernetでは通常1500バイトです。

Cloudflare One clientがモダンなエンタープライズグレードの要件（FIPS 140-2準拠など）をサポートするように進化するにつれて、各パケット内のメタデータと暗号化オーバーヘッドの量は自然に増加しました。これは、ユーザーが今日利用可能な最高レベルの保護を確実に受けられるようにするための意図的な選択です。

しかし、世界のインターネットインフラストラクチャの多くは、1500バイトパケットという厳格な期待値で数十年前に構築されました。LTE/5G、衛星リンク、FirstNetなどの公共安全ネットワークなどの専門ネットワークでは、データに実際に利用可能なスペースは標準よりも低いことがよくあります。

安全で暗号化されたパケットが低い制限（例：1300バイト）を持つ古いルーターに到達すると、そのルーターは理想的には「Destination Unreachable」というInternet Control Message Protocol（ICMP）メッセージを送信者に送り返して、より小さなサイズを要求するべきです。しかし、それが常に起こるとは限りません。

「Black Hole」は、ファイアウォールやミドルボックスがこれらのICMPフィードバックメッセージを静かにドロップする際に発生します。このフィードバックなしに、送信者は到着しない大きなパケットを送信し続け、アプリケーションは接続が最終的にタイムアウトするまで「ゾンビ」状態で待機し続けます。

Cloudflareのソリューション：PMTUDによる能動的プローブ

CloudflareのRFC 8899 Datagram Packetization Layer Path MTU Discovery（PMTUD）実装は、これらの脆弱なレガシーフィードバックループへの依存を取り除きます。私たちのモダンクライアントはMASQUEプロトコルを利用しており、これはCloudflareのオープンソースQUICライブラリの上に構築されているため、クライアントはネットワークパスの能動的なエンドツーエンド調査を実行できます。

来ないかもしれないエラーメッセージを待つ代わりに、クライアントは様々なサイズの暗号化パケットをCloudflareエッジに積極的に送信します。このプローブは、サポートされているMTU範囲の上限から中点まで、クライアントが一致する正確なMTUに絞り込むまでMTUをテストします。

これは、バックグラウンドで発生する洗練された非破壊的ハンドシェイクです。Cloudflareエッジが特定サイズのプローブを受信すると、それを確認応答します；プローブが失われた場合、クライアントはその特定のネットワークセグメントの正確な容量を即座に知ることができます。

クライアントは、接続開始時に確立したパスの容量を定期的に検証することで、仮想インターフェースMTUを動的にリサイズします。これにより、例えばユーザーが駅の1500-MTU Wi-Fiネットワークから現場の1300-MTUセルラーバックホールに移動した場合でも、移行がシームレスになります。クライアントがすでにこれらの安全なパケットに最適なパスをネゴシエートしているため、アプリケーションセッションは中断されません。

実世界への影響：ファーストレスポンダーからハイブリッドワーカーまで

この技術的変化は、ミッションクリティカルな接続性に深い影響を与えます。車両搭載ルーターを使用するファーストレスポンダーの信頼性ニーズを考えてみてください。これらのシステムは、利用可能なMTUを積極的に縮小する複雑なNATトラバーサルと優先ルーティング層をナビゲートすることがよくあります。PMTUDなしでは、Computer Aided Dispatch（CAD）システムなどの重要なソフトウェアは、タワーハンドオフや信号変動中に頻繁な切断を経験する可能性があります。

能動的発見を使用することで、Cloudflare One Clientは、基盤となるネットワークの変動からアプリケーションを保護する粘着性のある接続を維持します。

この同じロジックは、グローバルハイブリッドワークフォースにも適用されます。異なる国のホテルで働くロードウォリアーは、レガシーミドルボックスと複雑なダブルNAT環境によく遭遇します。途切れ途切れのビデオ通話や停止したファイル転送の代わりに、クライアントは数秒でボトルネックを特定し、ユーザーが変化に気づく前にパケットフローを最適化します。

デバイスでPMTUDを取得する

MASQUEプロトコルでCloudflare One Clientを使用している人は誰でも、Path MTU Discoveryを今すぐ無料で試すことができます。詳細なドキュメントを使用して、Windows、macOS、LinuxデバイスでPMTUDの速度と安定性でCloudflareエッジ経由でトラフィックをルーティングすることを開始してください。

Cloudflare Oneが初めての場合でも、最初の50ユーザーを無料で保護することができます。単にアカウントを作成し、Cloudflare One Clientをダウンロードし、オンボーディングガイドに従って、チーム全体のより高速で安定した接続を体験してください。

Cloudflareの接続クラウドは、企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防ぎ、ハッカーを寄せ付けず、Zero Trustへの旅をサポートします。任意のデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを開始してください。

より良いインターネットの構築を支援するという私たちのミッションについて詳しく学ぶには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、求人情報をご確認ください。