故障描述
總部USG2000E與分支AR1220之間建立IPSec VPN。客戶反饋經(jīng)過IPSec隧道的SAP和Lotus Notes業(yè)務(wù)緩慢,其他未經(jīng)過隧道的業(yè)務(wù)正常。
故障分析
IPSec隧道對(duì)IP報(bào)文進(jìn)行再次封裝導(dǎo)致IP報(bào)文長度變長,如果(MSS+TCP報(bào)文頭+IP報(bào)文頭)> 鏈路MTU,報(bào)文將被分片發(fā)送,接收端需重組后再解析,分片和重組都需要消耗CPU資源。同時(shí)分片報(bào)文的加密、解密過程也需要消耗更多的CPU資源。當(dāng)分片報(bào)文比例過大時(shí),CPU資源告急可能會(huì)導(dǎo)致訪問速度下降、報(bào)文丟包。
處理過程
通過抓包分析大量業(yè)務(wù)報(bào)文被分片發(fā)送,符合上述原因分析。在USG2000E和AR1220上修改TCP MSS值后,使(MSS+TCP報(bào)文頭+IP報(bào)文頭)< 鏈路MTU,經(jīng)過IPSec隧道的SAP和Lotus Notes業(yè)務(wù)恢復(fù)正常。
TCP MSS在USG2000E上全局配置:
firewall tcp-mss 1200
AR1220的TCP MSS 需在內(nèi)網(wǎng)口和外網(wǎng)口同時(shí)配置:
tcp adjust-mss 1200
tcp adjust-mss 1200
建議/總結(jié)
無