精品久久福利-中文乱码免费一区二区三区下载-HD免费看,国产一区二区免费看,欧美激情一级精品国产,侵犯丰满女教师蒲藤惠

TCP MSS設置不當導致IPSec業(yè)務緩慢

故障描述

　　總部USG2000E與分支AR1220之間建立IPSec VPN。客戶反饋經(jīng)過IPSec隧道的SAP和Lotus Notes業(yè)務緩慢，其他未經(jīng)過隧道的業(yè)務正常。

故障分析

　　IPSec隧道對IP報文進行再次封裝導致IP報文長度變長，如果（MSS+TCP報文頭+IP報文頭）> 鏈路MTU，報文將被分片發(fā)送，接收端需重組后再解析，分片和重組都需要消耗CPU資源。同時分片報文的加密、解密過程也需要消耗更多的CPU資源。當分片報文比例過大時，CPU資源告急可能會導致訪問速度下降、報文丟包。

處理過程

通過抓包分析大量業(yè)務報文被分片發(fā)送，符合上述原因分析。在USG2000E和AR1220上修改TCP MSS值后，使（MSS+TCP報文頭+IP報文頭）< 鏈路MTU，經(jīng)過IPSec隧道的SAP和Lotus Notes業(yè)務恢復正常。
TCP MSS在USG2000E上全局配置：
firewall tcp-mss 1200
AR1220的TCP MSS 需在內(nèi)網(wǎng)口和外網(wǎng)口同時配置：
tcp adjust-mss 1200
tcp adjust-mss 1200

建議/總結

　　無