我在运行 8.4(3) 的 ASA 5520s 上建立了两个站点之间的 IPSec 链接,当流量通过 IPSec VPN 时,我的性能非常差。设备上的 CPU 约为 13%,内存为 408 MB,活动 VPN 会话为 2。两个设备上的负载都特别低。两个站点之间的延迟约为 40ms。
两台主机之间通过防火墙 IPSec VPN 进行文件传输的屏幕截图,速度为 10MBPS。请注意窗口大小的变化。
https://i.stack.imgur.com/AsJqG.jpg
两台主机之间通过防火墙进行 wireshark 文件传输的屏幕截图,不通过 IPSec,传输速度为 55MBPS。窗口大小恒定。
https://i.stack.imgur.com/UoBQN.jpg
通过 IPSec VPN 传输时,窗口大小不一致,范围在 46,796 到 65535 之间。以 55+MBPS 执行时,窗口大小始终为 65,535。这是否表明我在 ASA 中配置 IPSec VPN 存在问题或存在第 1/2 层问题?
使用 ping xxxxxx -f -l 我最终得到了 1418 字节的非碎片,因此 IP/ICMP 标头的 1418+28 = 1446。我知道我在 ASA 和以太网上设置了 1500。
我确实在 ASA 上的配置 > 高级 > TCP 选项下设置了“强制 TCP 代理连接的最大段大小为”“1380”字节。
使用 IPERF,我每隔几秒钟就会得到一次“TCP 窗口已满”且性能约为 3 MBPS。
https://i.stack.imgur.com/RRbkE.jpg
在 ASA 上显示运行
显示哭泣加速器统计数据