我们有一个站点到站点的 IPSEC VPN,两个端点都是 Cisco PIX 515e。两端的链接为 100mb,但 VPN 上的速度(使用 jperf 记录)最多为 4mb。显然,这代表了我们认为应该获得的速度的巨大差距。我很欣赏 VPN 会有开销,但肯定不会那么多。查看它,两个 PIX 上的所有接口都将其 MTU 设置为 1500。运行一些测试以检查路径 MTU 显示如下:
通过 VPN 隧道
SITEA -> SITEB = 路径 MTU 1300
SITEB -> SITEA = 路径 MTU 1434
不使用 VPN 隧道
SITEA -> SITEB = 路径 MTU 1500
SITEB -> SITEA = 路径 MTU 1500
所以; 在创建隧道之前,路径 MTU 建议接口 MTU 为 1500 即可。然而,在 VPN 上运行相同的测试会返回较低的建议 MTU,并且会返回不同的 MTU。
我们是否应该将 PIX 上的 MTU 降低到建议的 1300/1434 值之一,或者这是一个红鲱鱼?和; 如果我们确实将 MTU 降低到这些值,我们是否还需要相应地更改 MSS(当前两个设备上的默认值)。
任何指导都将不胜感激,因为这不是我们可以在没有正当理由的情况下尝试 101 件事的链接,因为业务的性质和链接。
提前谢谢了。
尽管 Cisco 为 515E VPN 吞吐量引用了一些相当高的“最高”数据,但这些数据与大多数此类数据一样,充其量也是值得怀疑的。下面的研究基于各种吞吐量场景进行了一些比较,包括 515E。
http://www.tolly.com/TS/2002/WatchGuard/Firebox%20V60/Test%20Summary/TollyTS202164WatchGuardFireboxJan03-print.pdf
实际上,我认为对于同时进行其他工作的 515E 而言,您很可能会获得您所期望的最好的。
关于您的具体问题,我不建议手动减少 MTU,因为这会增加发送更多数据包的开销,并对 VPN 性能产生负面影响(再次在链接研究中看到)。MTU 通过 VPN 减少自身,因为一旦原始数据包被加密,则必须添加标头以将加密数据包定向到另一个 VPN 端点。
恐怕您很可能需要购买 VPN 加速器模块或使用较旧、安全性较低但性能更友好的加密算法。