我们有一个站点到站点的 IPSEC VPN,两个端点都是 Cisco PIX 515e。两端的链接都是 100mb,但是 VPN 上的速度(使用 jperf 记录)最多只有 4mb。显然,这代表了我们认为应该获得的速度的巨大差距。我知道 VPN 会有开销,但肯定不会那么多。查看它,两个 PIX 上的所有接口的 MTU 都设置为 1500。运行一些测试来检查路径 MTU,结果显示如下:
通过 VPN 隧道
SITEA -> SITEB = 路径 MTU 1300
SITEB -> SITEA = 路径 MTU 1434
不使用 VPN 隧道
SITEA -> SITEB = 路径 MTU 1500
SITEB -> SITEA = 路径 MTU 1500
因此,在创建隧道之前,路径 MTU 建议接口 MTU 为 1500 即可。然而,在 VPN 上运行相同的测试会返回较低的建议 MTU,并且会返回不同的值。
我们是否应该将 PIX 上的 MTU 降低到建议的 1300/1434 值之一,或者这只是一个转移注意力的借口?而且,如果我们确实将 MTU 降低到这些值,我们是否还需要相应地更改 MSS(目前两个设备上的默认值)。
任何指导都将不胜感激,因为鉴于业务和链接的性质,我们不能在没有正当理由的情况下尝试 101 件事。
提前谢谢了。
答案1
尽管思科引用了一些相当高的 515E VPN 吞吐量“最高”数字,但这些数字与大多数此类数字一样,充其量也令人怀疑。下面的研究根据各种吞吐量场景进行了一些比较,其中包括 515E。
实际上,我认为对于使用 515E 进行其他工作来说,您很可能会获得所期望的最佳效果。
关于您的具体问题,我不建议手动减少 MTU,因为这会增加发送更多数据包的开销,并对 VPN 性能产生负面影响(如链接研究中再次提到的)。MTU 会在 VPN 上自行减少,因为一旦原始数据包被加密,就必须添加标头以将加密数据包定向到另一个 VPN 端点。
恐怕您很可能需要购买 VPN 加速器模块或使用较旧、安全性较低但性能更友好的加密算法。