故障描述
总部USG2000E与分支AR1220之间建立IPSec VPN。客户反馈经过IPSec隧道的SAP和Lotus Notes业务缓慢,其他未经过隧道的业务正常。
故障分析
IPSec隧道对IP报文进行再次封装导致IP报文长度变长,如果(MSS+TCP报文头+IP报文头)> 链路MTU,报文将被分片发送,接收端需重组后再解析,分片和重组都需要消耗CPU资源。同时分片报文的加密、解密过程也需要消耗更多的CPU资源。当分片报文比例过大时,CPU资源告急可能会导致访问速度下降、报文丢包。
处理过程
通过抓包分析大量业务报文被分片发送,符合上述原因分析。在USG2000E和AR1220上修改TCP MSS值后,使(MSS+TCP报文头+IP报文头)< 链路MTU,经过IPSec隧道的SAP和Lotus Notes业务恢复正常。
TCP MSS在USG2000E上全局配置:
firewall tcp-mss 1200
AR1220的TCP MSS 需在内网口和外网口同时配置:
tcp adjust-mss 1200
tcp adjust-mss 1200
建议/总结
无