У нас есть сайт для сайта IPSEC VPN, обе конечные точки - Cisco PIX 515e. Каналы на обоих концах имеют размер 100 МБ, однако скорость по VPN (регистрируемая с помощью jperf) не превышает 4 МБ. Очевидно, это представляет собой ОГРОМНУЮ пропасть в скоростях, которые, по нашему мнению, мы должны развивать. Я ценю, что для VPN будут накладные расходы, но, конечно, не так уж и много. Заглянув в него, все интерфейсы на обоих PIX имеют MTU, равное 1500. Выполнение некоторых тестов для проверки пути MTU показывает следующее:
Через VPN-туннель
SITEA -> SITEB = MTU пути 1300
SITEB -> SITEA = MTU пути 1434
Без использования VPN-туннеля
SITEA -> SITEB = MTU пути 1500
SITEB -> SITEA = MTU пути 1500
Так; перед созданием туннеля MTU пути предполагает, что MTU интерфейса 1500 будет в порядке. Однако выполнение тех же тестов через VPN дает более низкие предполагаемые значения MTU, причем разные.
Следует ли нам снизить MTU на наших PIX до одного из предложенных значений 1300/1434 или это отвлекающий маневр? И; если мы снизим MTU до этих значений, нам также нужно будет соответствующим образом изменить MSS (в настоящее время по умолчанию на обоих устройствах).
Любые указания будут оценены, поскольку это не ссылка, на которой мы можем опробовать 101 вещь без уважительной причины из-за характера бизнеса и ссылки.
Спасибо заранее.
Хотя Cisco приводит довольно высокие цифры "до" для пропускной способности 515E VPN, они, как и большинство других, в лучшем случае сомнительны. В приведенном ниже исследовании есть некоторые сравнения, основанные на различных сценариях пропускной способности и включающие 515E.
На самом деле, я думаю, что от 515E, выполняющего и другую работу, вы, скорее всего, получите лучшее, на что можете рассчитывать.
Что касается вашего конкретного вопроса, я бы не рекомендовал уменьшать MTU вручную, поскольку это увеличивает накладные расходы с точки зрения большего количества отправляемых пакетов и отрицательно влияет на производительность VPN (как снова показано в связанном исследовании). MTU уменьшает себя по VPN, потому что после того, как исходный пакет зашифрован, нужно добавить заголовки, чтобы направить зашифрованный пакет в другую конечную точку VPN.
Я боюсь, что вам, скорее всего, придется приобрести модуль ускорителя VPN или использовать более старый, менее безопасный, но более производительный алгоритм шифрования.