總部USG2000E與分(fēn)支AR1220之≥♠♥間(jiān)建立IPSec VPN。客戶反饋經過$αIPSec隧道(dào)的(de)SAP和(hé)Lotus Notes業(✘↔♣♦yè)務緩慢(màn),其他(tā)未經過隧道(dào)的(de)業(≠§÷yè)務正常。
IPSec隧道(dào)對(duì)IP報(bào)文(wén∑₹)進行(xíng)再次封裝導緻IP報(bào)文≤γ(wén)長(cháng)度變長(cháng),♣↕£π如(rú)果(MSS+TCP報(bào)文(wén↕™©)頭+IP報(bào)文(wén)頭)> 鏈路(lù)MTU,報₩→♣(bào)文(wén)将被分(fēn)片發送,接收端需重組後再解析,分(fēn→♣™γ)片和(hé)重組都(dōu)需要(yào&φ&)消耗CPU資源。同時(shí)分(fēn)片報(bà>•πo)文(wén)的(de)加密、解密過程也(yě)需要(yào)消耗更多(du✔☆♦←ō)的(de)CPU資源。當分(fēn)片報(☆π<bào)文(wén)比例過大(dà)時(shí),CP♥₽U資源告急可(kě)能(néng)會(huì)導緻訪問(wèn)速度下(x₽¶✘ià)降、報(bào)文(wén)丢包。
通(t$¥♣ōng)過抓包分(fēn)析大(dà)量業('☆yè)務報(bào)文(wén)被分(fēn)片發送,符合上(shàng)述原∑≤↕♥因分(fēn)析。在USG2000E和(hé)AR12§<€β20上(shàng)修改TCP MSS值後,使(MSS+TCP報(b>±ào)文(wén)頭+IP報(bào)文(w λ&én)頭)< 鏈路(lù)MTU,經過IPSec隧道(dào)的(de↑↓)SAP和(hé)Lotus Notes σ業(yè)務恢複正常。
TCP MSS在USG2000E上(shàng)全局配置:
firewall tcp-mss 1200
AR1220的(de)TCP MSS φ¥需在內(nèi)網口和(hé)外(wài)網口同時✔₩δ(shí)配置:
tcp adjust-mss 1200
tcp adjust-mss 1200
無