「サイレントドロップ」を終わらせる:Dynamic Path MTU DiscoveryがCloudflare One Clientの回復力を高める仕組み
Cloudflareは、Cloudflare One Clientにおいて動的パスMTU発見(Dynamic PMTUD)を実装し、ネットワーク経路の制限に対応してパケットサイズを自動調整することで、「サイレントドロップ」現象を解消し、接続の堅牢性を向上させた。
キーポイント
PMTUブラックホールの問題定義
従来のネットワークでは、ファイアウォールやミドルボックスがICMPメッセージをドロップする際、送信側はエラー通知を受け取らず、大きなパケットを送り続けることで接続がタイムアウトする「サイレントドロップ」が発生していた。
セキュリティオーバーヘッドとインフラのミスマッチ
FIPS 140-2準拠などの高度な暗号化によりパケットのオーバーヘッドが増加した現代のセキュリティプロトコルは、LTEや衛星リンクなどMTU制限が厳しいレガシーインフラと衝突しやすくなっていた。
能動的プロービングによる解決策
Cloudflare One Clientは、1281バイト以上のMTUを持つネットワーク経路に対して能動的にプロービングを行い、最適なパケットサイズを動的かつインテリジェントに調整するようになった。
能動的なPMTUDによるプロトコル実装
RFC 8899に基づくDatagram Packetization Layer Path MTU Discovery(PMTUD)を実装し、エラーメッセージを待つ従来の方式に依存せず、暗号化された多様なサイズのプローブパケットを送信して経路MTUを能動的かつエンドツーエンドで探索する。
接続中の動的なMTU調整によるシームレスな移行
クライアントは接続開始時に確立された経路容量を定期的に検証し、仮想インターフェースのMTUを動的に再調整するため、Wi-Fiからモバイル通信などネットワーク環境が変化してもセッション中断なくシームレスに遷移できる。
ミッションクリティカルな接続における信頼性の向上
レスキュー隊の車両搭載ルーターやハイブリッドワーカーが遭遇する複雑なNAT環境やミドルボックスによるMTU縮小の問題に対し、ボトルネックを即座に特定して最適化することで、CADシステムやビデオ通話などの重要なアプリケーションの接続安定性を確保する。
MASQUEプロトコルを使用したPMTUDの無料利用開始
Cloudflare One ClientでMASQUEプロトコルを使用しているユーザーは、Windows、macOS、Linuxデバイス向けにPath MTU Discoveryを無料で試すことができます。
影響分析・編集コメントを表示
影響分析
この変更は、エンタープライズ環境におけるネットワーク接続の信頼性を高める重要な改善であり、特に厳格なセキュリティ基準(FIPS)と多様な通信環境(モバイル、衛星など)が混在する現場で有効である。ただし、これはCloudflare独自のクライアント機能であり、インターネット全体の標準プロトコルを変更するものではないため、影響範囲はCloudflareユーザーに限定される。
編集コメント
セキュリティ強化に伴うオーバーヘッド増加は現代ネットワークの共通課題であり、Cloudflareがクライアント側で能動的に対応した点は実用的である。ただし、これは特定のベンダー製品への最適化であり、汎用性の高いネットワーク標準の改善とは区別して評価すべきだ。
おそらく、このようなサポートチケットを何度も目にしたことがあるでしょう:数分前までは Slack や DNS 参照に問題なく動作していたユーザーのインターネット接続が、大きなファイルのアップロードやビデオ通話への参加、SSH セッションの開始を試みた瞬間 suddenly に停止してしまう。その原因は通常、帯域幅の不足やサービスの障害ではなく、「PMTUD ブラックホール」です。これは、パケットが特定のネットワークパスに対して大きすぎるにもかかわらず、ネットワーク側がその制限を送信者に通知できない場合に発生するフラストレーションです。この状況は、管理外のネットワークに縛られていたり、最大伝送単位(MTU)の制限を持つベンダーを使用している場合や、問題に対処する手段がない場合に頻繁に起こります。
今日、私たちはこれらのレガシーなネットワーク制約から脱却します。パス MTU 発見(PMTUD: Path MTU Discovery)を実装することで、Cloudflare One Client はパスマップの探索において受動的な観測者から能動的な参加者へと移行しました。
動的パス MTU 発見により、クライアントは 1281 バイトを超える MTU を持つほとんどのネットワークパスに対して最適なパケットサイズを知的かつ動的に調整できます。これにより、高速な企業バックボーン上にある場合でも、制限の厳しいセルラーネットワーク上にある場合でも、ユーザーの接続が安定して維持されます。
「現代のセキュリティとレガシーインフラストラクチャ」の課題
この解決策を理解するには、現代のセキュリティプロトコルが世界中の多様なインターネットインフラとどのように相互作用するかを把握する必要があります。MTU(Maximum Transmission Unit)は、断片化せずにデバイスがネットワーク上で送信できる最大のデータパケットサイズを表します:標準的なイーサネットでは通常 1500 バイトです。
Cloudflare One クライアントが進化し、FIPS 140-2 準拠などの現代的なエンタープライズグレードの要件に対応するようになると、各パケット内のメタデータと暗号化オーバーヘッドの量は自然に増加しました。これは、ユーザーが今日利用可能な最高レベルの保護を受けられるようにするという意図的な選択です。
しかし、世界のインターネットインフラの多くは数十年も前に構築され、1500 バイトのパケットという硬直的な前提に基づいています。LTE/5G や衛星リンク、FirstNet などの公衆安全ネットワークといった特殊なネットワークでは、データに実際に利用可能なスペースが標準よりも低いことがよくあります。セキュリティが高く暗号化されたパケットが、より低い制限(例えば 1300 バイト)を持つ古いルーターに到達した場合、そのルーターは理想的には「宛先未到達」を通知するインターネット制御メッセージプロトコル(ICMP)メッセージを送信者に返し、より小さなサイズを要求すべきです。
しかし、それが常に起こるわけではありません。ファイアウォールやミドルボックスがこれらの ICMP フィードバックメッセージを静かにドロップする場合、「ブラックホール」が発生します。このフィードバックがないため、送信者は到着しない大きなパケットの送信を試み続け、アプリケーションは接続が最終的にタイムアウトするまで「ゾンビ」状態のまま待機することになります。

Cloudflare のソリューション:PMTUD(Datagram Packetization Layer Path MTU Discovery)を用いた能動的プロービング
Cloudflare が RFC 8899 に基づく Datagram Packetization Layer Path MTU Discovery (PMTUD) を実装したことで、これらの脆弱でレガシーなフィードバックループへの依存を解消しました。当社の現代的なクライアントは Cloudflare のオープンソース QUIC ライブラリの上に構築された MASQUE プロトコルを利用しているため、ネットワークパスに対して能動的かつエンドツーエンドの調査を行うことが可能です。
いつ来るか分からないエラーメッセージを待つ代わりに、クライアントはさまざまなサイズの暗号化パケットを Cloudflare エッジへ能動的に送信します。このプローブにより、サポートされる MTU(Maximum Transmission Unit)範囲の上限から中間点までをテストし、クライアントが正確な MTU に絞り込むまで続行されます。これは背景で起こる洗練された非破壊的なハンドシェイクです。Cloudflare エッジが特定のサイズのプローブを受信した場合、それを承認します。もしプローブが失われた場合、クライアントはそのネットワークセグメントの正確な容量を即座に知ることができます。
クライアントはその後、接続開始時に確立した経路の容量を定期的に検証することにより、仮想インターフェースの MTU を動的にリアルタイムで再調整します。これにより、例えばユーザーが駅の 1500-MTU の Wi-Fi ネットワークから現場の 1300-MTU のセルラーバックホールへ移動した場合でも、移行はシームレスに行われます。アプリケーションセッションは中断されません。なぜなら、クライアントはすでにこれらの安全なパケットに対して可能な限り最良の経路をネゴシエートしているからです。

現場での実用的な影響:ファーストレスポンダーからハイブリッドワーカーまで
この技術的転換は、ミッションクリティカルな接続性に対して深い意味を持ちます。車両搭載ルーターを使用するファーストレスポンダーの信頼性の必要性を考慮してください。これらのシステムは、利用可能な MTU を積極的に縮小する複雑な NAT 透過(NAT traversal)や優先ルーティング層を通過することが多くあります。PMTUD(経路 MTU 発見:Path MTU Discovery)がない場合、Computer Aided Dispatch (CAD) システムのような重要なソフトウェアが、タワーのハンドオフや信号の変動中に頻繁に切断を経験する可能性があります。アクティブな発見機能を使用することで、Cloudflare One Client は粘着性の高い接続を維持し、アプリケーションを基盤となるネットワークの不安定さから保護します。
この同じ論理は、グローバルに分散したハイブリッドワーカーにも適用されます。異なる国のホテルから勤務するロードウォーリアーは、しばしばレガシーなミドルボックスや複雑なダブル NAT 環境に直面します。しかし、チャチなビデオ通話や停止したファイル転送の代わりに、クライアントはボトルネックを数秒で特定し、ユーザーが変化に気づく前にパケットフローを最適化します。
あなたのデバイスに PMTUD を導入する
MASQUE プロトコルを使用して Cloudflare One Client を利用している方なら、誰でも今すぐ無料で Path MTU Discovery(パス MTU 発見)を試すことができます。Windows、macOS、Linux デバイスで PMTUD の速度と安定性を活かしながら、Cloudflare エッジを介してトラフィックのルーティングを開始するには、当社の詳細なドキュメントをご利用ください。
Cloudflare One が初めての方でも、無料で最初の 50 ユーザーの保護を開始できます。アカウントを作成し、Cloudflare One Client をダウンロードして、オンボーディングガイドに従うだけで、チーム全体にさらに高速で安定した接続を提供する体験が可能になります。
原文を表示
You’ve likely seen this support ticket countless times: a user’s Internet connection that worked just fine a moment ago for Slack and DNS lookups is suddenly hung the moment they attempt a large file upload, join a video call, or initiate an SSH session. The culprit isn't usually a bandwidth shortage or service outage issue, it is the "PMTUD Black Hole" — a frustration that occurs when packets are too large for a specific network path, but the network fails to communicate that limit back to the sender. This situation often happens when you’re locked into using networks you do not manage or vendors with maximum transmission unit (MTU) restrictions, and you have no means to address the problem.
Today, we are moving past these legacy networking constraints. By implementing Path MTU Discovery (PMTUD), the Cloudflare One Client has shifted from a passive observer to an active participant in path discovery.
Dynamic Path MTU Discovery allows the client to intelligently and dynamically adjust to the optimal packet size for most network paths using MTUs above 1281 bytes. This ensures that a user’s connection remains stable, whether they are on a high-speed corporate backbone or a restrictive cellular network.
The “modern security meets legacy infrastructure” challenge
To understand the solution, we have to look at how modern security protocols interact with the diversity of global Internet infrastructure. The MTU represents the largest data packet size a device can send over a network without fragmentation: typically 1500 bytes for standard Ethernet.
As the Cloudflare One client has evolved to support modern enterprise-grade requirements (such as FIPS 140-2 compliance), the amount of metadata and encryption overhead within each packet has naturally increased. This is a deliberate choice to ensure our users have the highest level of protection available today.
However, much of the world’s Internet infrastructure was built decades ago with a rigid expectation of 1500-byte packets. On specialized networks like LTE/5G, satellite links, or public safety networks like FirstNet, the actual available space for data is often lower than the standard. When a secure, encrypted packet hits an older router with a lower limit (e.g., 1300 bytes), that router should ideally send an Internet Control Message Protocol (ICMP) message stating "Destination Unreachable" back to the sender to request a smaller size.
But that doesn’t always happen. The "Black Hole" occurs when firewalls or middleboxes silently drop those ICMP feedback messages. Without this feedback, the sender keeps trying to send large packets that never arrive, and the application simply waits in a "zombie" state until the connection eventually times out.
image
Cloudflare’s solution: active probing with PMTUD
Cloudflare’s implementation of RFC 8899 Datagram Packetization Layer Path MTU Discovery (PMTUD) removes the reliance on these fragile, legacy feedback loops. Because our modern client utilizes the MASQUE protocol — built on top of Cloudflare’s open source QUIC library — the client can perform active, end-to-end interrogation of the network path.
Instead of waiting for an error message that might never come, the client proactively sends encrypted packets of varying sizes to the Cloudflare edge. This probe tests MTUs from the upper bound of the supported MTU range to the midpoint, until the client narrows down to the exact MTU to match. This is a sophisticated, non-disruptive handshake happening in the background. If the Cloudflare edge receives a specific-sized probe, it acknowledges it; if a probe is lost, the client instantly knows the precise capacity of that specific network segment.
The client then dynamically resizes its virtual interface MTU on the fly, by periodically validating the capacity of the path that we established at connection onset. This ensures that if, for example, a user moves from a 1500-MTU Wi-Fi network at a station to a 1300-MTU cellular backhaul in the field, the transition is seamless. The application session remains uninterrupted because the client has already negotiated the best possible path for those secure packets.
image
Real-world impact, from first responders to hybrid workers
This technical shift has profound implications for mission-critical connectivity. Consider the reliability needs of a first responder using a vehicle-mounted router. These systems often navigate complex NAT-traversal and priority-routing layers that aggressively shrink the available MTU. Without PMTUD, critical software like Computer Aided Dispatch (CAD) systems may experience frequent disconnects during tower handoffs or signal fluctuations. By using active discovery, the Cloudflare One Client maintains a sticky connection that shields the application from the underlying network volatility.
This same logic applies to the global hybrid workforce. A road warrior working from a hotel in a different country often encounters legacy middleboxes and complex double-NAT environments. Instead of choppy video calls and stalled file transfers, the client identifies the bottleneck in seconds and optimizes the packet flow — before the user even notices a change.
Get PMTUD for your devices
Anyone using the Cloudflare One Client with the MASQUE protocol can try Path MTU Discovery now for free. Use our detailed documentation to get started routing traffic through the Cloudflare edge with the speed and stability of PMTUD on your Windows, macOS, and Linux devices.
If you are new to Cloudflare One, you too can start protecting your first 50 users for free. Simply create an account, download the Cloudflare One Client, and follow our onboarding guide to experience a faster, more stable connection for your entire team.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み