У меня есть соединение IPSec между двумя сайтами через ASA 5520, работающими под управлением 8.4 (3), и я получаю крайне низкую производительность, когда трафик проходит через IPSec VPN. ЦП на устройствах составляет ~ 13%, объем памяти 408 МБ, количество активных сеансов VPN 2. Нагрузка на оба устройства особенно низкая. Задержка между двумя сайтами составляет ~ 40 мс.
Снимок экрана передачи файла wirehark между двумя хостами через брандмауэр IPSec VPN со скоростью 10 МБ / с. Обратите внимание на изменение размера окна.
Скриншот передачи файла wirehark между двумя хостами через брандмауэр без передачи IPSec со скоростью 55 МБ / с. Постоянный размер окна.
Я показываю несогласованный размер окна при передаче по IPSec VPN в диапазоне от 46 796 до 65 535. При выполнении со скоростью 55+ МБ / с размер окна постоянно составляет 65 535. Показывает ли это проблему в моей конфигурации IPSec VPN в ASA или проблему уровня 1/2?
Используя команду ping xxxxxx -f -l, я наконец получаю не-фрагмент размером 1418 байт, так что 1418 + 28 для заголовков IP / ICMP = 1446. Я знаю, что у меня установлено 1500 для ASA и Ethernet.
У меня есть «Принудительный максимальный размер сегмента для TCP-прокси-соединения, равный« 1380 »байтам, установленным в разделе Конфигурация> Дополнительно> Параметры TCP на ASA.
Используя IPERF, я получаю "TCP Window Full" каждые несколько секунд и производительность ~ 3 МБ / с.
Show Run на ASA
Показать статистику ускорителя cry