Desempenho de IPSec Lenta do ASA com Tamanho Inconsistente da Janela

1

Eu tenho um link IPSec entre dois sites sobre o ASA 5520 executando 8.4 (3) e estou tendo um desempenho extremamente ruim quando o tráfego passa pela VPN IPSec. A CPU nos dispositivos é ~ 13%, Memória em 408 MB e sessões VPN ativas 2. A carga em ambos os dispositivos é particularmente baixa. A latência entre os dois sites é de aproximadamente 40 ms.

Captura de tela da transferência de arquivos wireshark entre os dois hosts no firewall IPSec VPN com desempenho de 10 MBPS. Observe a alteração do tamanho da janela.

link

Captura de tela da transferência do arquivo wireshark entre os dois hosts pelo firewall, sem passar pelo IPSec, que executa a 55MBPS. Tamanho da janela constante.

link

Estou exibindo um tamanho de janela inconsistente ao transferir pela VPN IPSec, variando de 46.796 a 65535. Ao executar a 55 + MBPS, o tamanho da janela é consistentemente 65.535. Isso mostra um problema na minha configuração da VPN IPSec no problema ASA ou Layer1 / 2?

Usando ping xxxxxx -f -l Eu finalmente obtenho um não-fragmento em 1418 bytes, então 1418 + 28 para cabeçalhos IP / ICMP = 1446. Eu sei que tenho 1500 definidos no ASA e Ethernet.

Eu tenho "Forçar tamanho máximo do segmento para a conexão do proxy TCP para" "1380" bytes definidos em Configuração > Avançado > Opções TCP no ASA.

Usando o IPERF, estou obtendo um "TCP Window Full" a cada alguns segundos e um desempenho de ~ 3 MBPS.

link

Mostrar executar no ASA

link

Mostrar estatísticas do acelerador de chorus

link

    
por Brent 26.06.2013 / 16:48

0 respostas