Cisco IPSECVPNの低速
サイト間IPSECVPNがあり、両方のエンドポイントはCisco PIX515eです。両端のリンクは100MBですが、VPN経由の速度(jperfを使用して記録)は最大4MBです。明らかに、これは私たちが得るべきだと感じる速度の大きな隔たりを表しています。 VPNにはオーバーヘッドがあることを感謝しますが、確かにそれほど多くはありません。調べてみると、両方のPIXのすべてのインターフェイスのMTUが1500に設定されています。いくつかのテストを実行してパスMTUを確認すると、次のようになります。
VPNトンネル経由
SITEA-> SITEB =パスMTU1300
SITEB-> SITEA =パスMTU1434
VPNトンネルを使用しない
SITEA-> SITEB =パスMTU1500
SITEB-> SITEA =パスMTU1500
そう;トンネルが作成される前に、パスMTUは、1500のインターフェイスMTUで問題がないことを示しています。ただし、VPNで同じテストを実行すると、推奨されるMTUが低くなり、異なるMTUが返されます。
PIXのMTUを、提案されている1300/1434の値のいずれかにドロップする必要がありますか、それとも赤いニシンですか?そして; MTUをこれらの値に落とす場合、それに応じてMSSも変更する必要があります(現在、両方のデバイスでデフォルトです)。
これは、ビジネスの性質とリンクのために、正当な理由なしに101のことを試すことができるリンクではないため、ガイダンスをいただければ幸いです。
よろしくお願いします。
シスコは515EVPNスループットについてかなり高い「最大」の数値を引用していますが、これらはせいぜい疑わしいほとんどの数値のようです。以下の調査には、さまざまなスループットシナリオに基づくいくつかの比較があり、515Eが含まれています。
現実的には、515Eが他の作業を行っている場合でも、期待できる最高の結果が得られる可能性が高いと思います。
特定の質問に関しては、MTUを手動で減らすことはお勧めしません。これにより、送信されるパケットが増えるという点でオーバーヘッドが増加し、VPNのパフォーマンスに悪影響を及ぼします(リンクされた調査で再度見られます)。元のパケットが暗号化されると、暗号化されたパケットを他のVPNエンドポイントに転送するためにヘッダーを追加する必要があるため、MTUはVPNを介して自身を削減します。
VPNアクセラレータモジュールを購入するか、古い、安全性は低いがパフォーマンスに適した暗号化アルゴリズムを使用する必要がある可能性が高いと思います。