我们有一个网站到现场IPSEC VPN,两个端点都是Cisco PIX 515e的。 两端的链接都是100MB,但VPN上的速度(使用jperflogging)最多为4MB。 显然这代表了我们应该得到的速度的巨大鸿沟。 我很欣赏将有VPN的开销,但肯定不是那么多。 看着它,两个PIX的所有接口都将其MTU设置为1500.运行一些testing来检查pathMTU显示如下:
通过VPN隧道
SITEA – > SITEB = Path MTU 1300
SITEB – > SITEA =pathMTU 1434
不使用VPN隧道
SITEA – > SITEB = Path MTU 1500
SITEB – > SITEA = Path MTU 1500
所以; 在创build隧道之前,pathMTUbuild议1500的接口MTU是可以的。 然而,在VPN上运行相同的testing返回较低的build议MTU,并在那个不同的testing。
我们应该把我们的PIX上的MTU放到build议的1300/1434值中的一个还是一个红鲱鱼? 和; 如果我们将MTU降到这些值,我们是否也需要相应地更改MSS(两个设备上的当前默认值)。
任何指导,将不胜感激,因为这不是一个链接,我们可以尝试101件事情没有正当理由,由于业务性质和链接。
提前谢谢了。
尽pipe思科为515E VPN吞吐量引用了一些相当高的“高达”数字,但这些数字好像大多数这样的数字充其量是可疑的。 下面的研究根据不同的吞吐量情况进行了一些比较,包括515E。
实际上,我认为对于一个515E做其他工作,你最有可能得到你所期望的最好的。
关于您的具体问题,我不build议手动减lessMTU,因为这会增加发送更多数据包的开销,并对VPN性能产生负面影响(如再次链接的研究所示)。 MTU通过VPN自身减less,因为一旦原始数据包被encryption,就必须添加头部,以将encryption数据包引导到另一个VPN端点。
恐怕您很可能需要购买VPN加速器模块,或者使用较旧的,不太安全但更具性能的encryptionalgorithm。