Cisco IPSEC VPN 速度慢
我們有一個站點到站點的 IPSEC VPN,兩個端點都是 Cisco PIX 515e。兩端的連結為 100mb,但 VPN 上的速度(使用 jperf 記錄)最多為 4mb。顯然,這代表了我們認為應該獲得的速度的巨大差距。我很欣賞 VPN 會有成本,但肯定不會那麼多。查看它,兩個 PIX 上的所有介面都將其 MTU 設置為 1500。執行一些測試以檢查路徑 MTU 顯示如下:
通過 VPN 隧道
SITEA -> SITEB = 路徑 MTU 1300
SITEB -> SITEA = 路徑 MTU 1434
不使用 VPN 隧道
SITEA -> SITEB = 路徑 MTU 1500
SITEB -> SITEA = 路徑 MTU 1500
所以; 在創建隧道之前,路徑 MTU 建議介面 MTU 為 1500 即可。然而,在 VPN 上執行相同的測試會返回較低的建議 MTU,並且會返回不同的 MTU。
我們是否應該將 PIX 上的 MTU 降低到建議的 1300/1434 值之一,或者這是一個紅鯡魚?和; 如果我們確實將 MTU 降低到這些值,我們是否還需要相應地更改 MSS(目前兩個設備上的預設值)。
任何指導都將不勝感激,因為這不是我們可以在沒有正當理由的情況下嘗試 101 件事的連結,因為業務的性質和連結。
提前謝謝了。
儘管 Cisco 為 515E VPN 吞吐量引用了一些相當高的“最高”數據,但這些數據與大多數此類數據一樣,充其量也是值得懷疑的。下面的研究基於各種吞吐量場景進行了一些比較,包括 515E。
實際上,我認為對於同時進行其他工作的 515E 而言,您很可能會獲得您所期望的最好的。
關於您的具體問題,我不建議手動減少 MTU,因為這會增加發送更多數據包的成本,並對 VPN 性能產生負面影響(再次在連結研究中看到)。MTU 通過 VPN 減少自身,因為一旦原始數據包被加密,則必須添加標頭以將加密數據包定向到另一個 VPN 端點。
恐怕您很可能需要購買 VPN 加速器模組或使用較舊、安全性較低但性能更友好的加密算法。