Cisco IPSEC VPN Низкая скорость

Question

Cisco IPSEC VPN Низкая скорость

У нас есть сайт на сайте IPSEC VPN, обе конечные точки - Cisco PIX 515e. Каналы на обоих концах составляют 100 МБ, однако скорости по VPN (зарегистрированные с помощью jperf) не превышают 4 МБ. Очевидно, это представляет ОГРОМНЫЙ разрыв в скоростях, которые мы чувствуем, что должны получить. Я ценю, что для VPN будут накладные расходы, но, конечно, не так много. Рассматривая это, все интерфейсы на обоих PIX имеют свой MTU равным 1500. Запуск некоторых тестов для проверки пути MTU показывает следующее:

Через VPN туннель

SITEA -> SITEB = Path MTU 1300

SITEB -> SITEA = Path MTU 1434

Не используется VPN-туннель

SITEA -> SITEB = Path MTU 1500

SITEB -> SITEA = Path MTU 1500

Так; до создания туннеля MTU пути предполагает, что MTU интерфейса 1500 будет в порядке. Тем не менее, выполнение тех же тестов через VPN приводит к снижению рекомендуемых значений MTU, причем разных.

Должны ли мы снизить MTU на наших PIX до одного из предложенных значений 1300/1434 или это красная сельдь? А также; если мы уроним значения MTU до этих значений, нам также нужно будет соответствующим образом изменить MSS (в настоящее время по умолчанию на обоих устройствах).

Мы будем благодарны за любые рекомендации, так как это не ссылка, на которую мы можем примерить 101 вещь без веской причины, из-за характера бизнеса и ссылки.

Спасибо заранее.

1

vpn cisco ipsec mtu slow-connection

Источник

mbuk2k 10 янв '14 в 10:20

1 ответ

Решение

Другие вопросы по тегам vpn cisco ipsec mtu slow-connection

Sam 10 янв '14 в 11:14 2014-01-10 11:14 · Accepted Answer · 2014-01-10 11:14

Несмотря на то, что Cisco приводит некоторые довольно высокие цифры "до" для пропускной способности VPN 515E, они в большинстве своем кажутся сомнительными в лучшем случае. В приведенном ниже исследовании приведены некоторые сравнения, основанные на различных сценариях пропускной способности и включающие 515E.

http://www.tolly.com/TS/2002/WatchGuard/Firebox%20V60/Test%20Summary/TollyTS202164WatchGuardFireboxJan03-print.pdf

Реально я думаю, что для 515E, выполняющего другую работу, вы, скорее всего, получаете лучшее, что можете ожидать.

Что касается вашего конкретного вопроса, я бы не рекомендовал сокращать MTU вручную, так как это увеличивает накладные расходы с точки зрения большего количества отправляемых пакетов и негативно влияет на производительность VPN (как показано в связанном исследовании снова). MTU уменьшает себя по VPN, потому что после того, как исходный пакет зашифрован, необходимо добавить заголовки, чтобы направить зашифрованный пакет в другую конечную точку VPN.

Боюсь, вам, скорее всего, придется купить модуль ускорителя VPN или использовать более старый, менее безопасный, но более производительный алгоритм шифрования.