Jag har felsökt vissa långsamma SMB VPN-problem och många av de saker jag läser handlar om att ändra MTU.
Den yttre gränssnittet på ASA är inställt på 1500, SVI i kärnan är inställt på 1500, och uplinken till ISP är 9000.
Jag antar att jag behöver ändra MTU på ASA, är detta något jag ändrar på det yttre gränssnittet eller är detta en tunnel-specifik inställning jag inte känner till?
Känner någon till några cisco-länkar som handlar om detta?
Att använda en MTU >1500 över kommersiell internet kommer inte att fungera bra. Även om allt mellan dig och klienten är inställt för jumbo frames (vilket förmodligen inte är fallet), är det mycket osannolikt att klienten skulle vara det. Och du kan definitivt inte förlita dig på PMTUD för att reda ut riktig MTU (de flesta brandväggar blockerar relevant ICMP).
Supportar din leverantör verkligen jumbo frames, eller tänkte du bara höja MTU:n i tron att det skulle fungera bättre?
Har du MSS-klämning aktiverat på ASA? Om ja, vilket värde? Det är det mest tillförlitliga sättet att indikera tunnelns minskade MTU till varje ände (för TCP).
L2L?
MTU är per gränssnitt men om vi pratar IPSEC-tunnlar ändrar de MTU för gränssnittet genom att subtrahera tunnelöverhäng. Om du kör show crypto ipsec sa peer x.x.x.x kommer du att se detta.
Om du använder AnyConnect, vet inte exakt men vi har IPSEC-klienter så jag antar att det behandlas liknande.
MTU spelar inte så stor roll för TCP tack vare MSS. ASA sätter den till 1380 för alla flöden som standard.
Definiera “långsamt.” Är en applikation långsam över anslutningen? Fildelningar? Paketförlust?
MTU kan vara problemet om applikationen skickar 1500 bytes paket med DF-biten satt och är dålig på MTU-förhandling. Det kan bero på att den är mycket latenskänslig och därför är långsam.
MTU:n minskas som standard för att göra plats för ytterligare header, så att öka den kommer bara att leda till fragmentering.