Velocidades lentas do Cisco IPSEC VPN

1

Temos um site para o site IPSEC VPN, ambos os terminais são Cisco PIX 515e. Os links em ambas as extremidades são 100mb, no entanto, as velocidades sobre a VPN (registradas usando o jperf) são no máximo 4mb. Obviamente, isso representa um enorme abismo na velocidade que sentimos que deveríamos estar recebendo. Eu aprecio que haverá overheads para a VPN, mas certamente não muito. Olhando para ele, todas as interfaces em ambos os PIXs têm seu MTU configurado para 1500. Executando alguns testes para verificar o caminho, o MTU mostra o seguinte:

Sobre o túnel da VPN

SITEA - > SITEB = caminho MTU 1300

SITEB - > SITEA = caminho MTU 1434

Não usando o túnel VPN

SITEA - > SITEB = caminho MTU 1500

SITEB - > SITEA = caminho MTU 1500

Então; antes do túnel ser criado, o caminho MTU sugere que uma interface MTU de 1500 seria ok. No entanto, executar os mesmos testes sobre o retorno de VPN sugeriu MTUs inferiores e diferentes.

Devemos descartar os MTUs em nossos PIXs para um dos valores 1300/1434 sugeridos ou é um arenque vermelho? E; se deixarmos os MTUs para esses valores, também precisaremos alterar o MSS de acordo (atualmente padrão em ambos os dispositivos).

Qualquer orientação seria apreciada, já que este não é um link para o qual podemos experimentar 101 coisas sem uma boa causa, devido à natureza do negócio e do link.

Muito obrigado antecipadamente.

    
por mbuk2k 10.01.2014 / 11:20

1 resposta

1

Embora a Cisco cite alguns números "até" bastante elevados para a taxa de transferência da VPN 515E, eles são, na melhor das hipóteses, como a maioria desses números duvidosos. O estudo abaixo tem algumas comparações baseadas em vários cenários de produção e inclui o 515E.

link

Realisticamente, acho que para um 515E fazer outro trabalho também é provável que você consiga o melhor que pode esperar.

Com relação à sua pergunta específica, eu não recomendaria a redução do MTU manualmente, pois isso aumenta a sobrecarga em termos de mais pacotes sendo enviados e tem um impacto negativo no desempenho da VPN (como visto no estudo vinculado novamente). O MTU se reduz através da VPN, porque uma vez que o pacote original seja criptografado, os cabeçalhos devem ser adicionados para direcionar o pacote criptografado para o outro ponto de extremidade da VPN.

Infelizmente, é provável que você precise adquirir o módulo acelerador de VPN ou usar um algoritmo de criptografia mais antigo, menos seguro, porém mais eficiente em termos de desempenho.

    
por 10.01.2014 / 12:14