国产又粗又猛又大的视频在线播放_精品国产一区二区日韩91_日韩成人成色在线观看_日韩毛片一二三区_打扑克牌又疼又叫软件下载_欧美激情综合色综合啪啪五月_国产精品激情自拍系列_麻豆国产在线视频_fc2成人免费人成在线观看播放_那里可以免费看毛片

跳轉(zhuǎn)到主要內(nèi)容

TCP MSS設(shè)置不當(dāng)導(dǎo)致IPSec業(yè)務(wù)緩慢

故障描述

  總部USG2000E與分支AR1220之間建立IPSec VPN??蛻?hù)反饋經(jīng)過(guò)IPSec隧道的SAP和Lotus Notes業(yè)務(wù)緩慢,其他未經(jīng)過(guò)隧道的業(yè)務(wù)正常。

故障分析

  IPSec隧道對(duì)IP報(bào)文進(jìn)行再次封裝導(dǎo)致IP報(bào)文長(zhǎng)度變長(zhǎng),如果(MSS+TCP報(bào)文頭+IP報(bào)文頭)> 鏈路MTU,報(bào)文將被分片發(fā)送,接收端需重組后再解析,分片和重組都需要消耗CPU資源。同時(shí)分片報(bào)文的加密、解密過(guò)程也需要消耗更多的CPU資源。當(dāng)分片報(bào)文比例過(guò)大時(shí),CPU資源告急可能會(huì)導(dǎo)致訪問(wèn)速度下降、報(bào)文丟包。

處理過(guò)程

      通過(guò)抓包分析大量業(yè)務(wù)報(bào)文被分片發(fā)送,符合上述原因分析。在USG2000E和AR1220上修改TCP MSS值后,使(MSS+TCP報(bào)文頭+IP報(bào)文頭)< 鏈路MTU,經(jīng)過(guò)IPSec隧道的SAP和Lotus Notes業(yè)務(wù)恢復(fù)正常。
TCP MSS在USG2000E上全局配置:
firewall tcp-mss 1200
AR1220的TCP MSS 需在內(nèi)網(wǎng)口和外網(wǎng)口同時(shí)配置:
tcp adjust-mss 1200
tcp adjust-mss 1200

建議/總結(jié)

  無(wú)