Jag har felsökt vissa långsamma SMB VPN-problem och mycket av det jag läser är att man bör ändra MTU.
Utvändiga gränssnittet på ASA är inställt på 1500, SVI i kärnan är också 1500, och uplinken till ISP är 9000.
Jag antar att jag behöver ändra MTU på ASA, är detta något jag ändrar på det utvändiga gränssnittet eller är detta en tunnel-specifik inställning som jag inte känner till?
Känner någon till några Cisco-länkar som tar upp detta?
Att använda MTU >1500 över vanlig internetanslutning kommer inte fungera bra. Även om allt mellan dig och klienten är inställt för jumbo frames (vilket troligen inte är fallet), är det mycket osannolikt att klienten skulle vara det. Och du kan definitivt inte lita på PMTUD för att ordna rätt MTU (de flesta brandväggar blockar relevant ICMP).
Supportar din leverantör faktiskt jumbo frames, eller tänkte du bara öka MTU:n i tron att det skulle fungera bättre?
Har du MSS-klämning aktiverad på ASA? I så fall, vilket värde? Detta är det mest tillförlitliga sättet att indikera tunnelns reducerade MTU för varje ände (för TCP).
L2L?
MTU är per gränssnitt, men om vi pratar IPSEC-tunnlar ändrar de MTU för gränssnittet genom att dra av overhead för tunneln. Om du kör show crypto ipsec sa peer x.x.x.x kommer du se detta.
Om du använder AnyConnect, vet jag inte precis, men vi har IPSEC-klienter så jag antar att det behandlas liknande.
MTU spelar inte så stor roll för TCP tack vare MSS.
Definiera “långsam”. Är en applikation långsam över anslutningen? Filöverföringar? Paketförlust?
MTU kan vara problemet om applikationen skickar 1500 bytes stora paket med DF-biten aktiverad och är dålig på MTU-förhandling. Det kan bero på att den är mycket latenskänslig, vilket gör att den är långsam.
MTU sänks som standard för att ge plats för extra headers, så att öka den kan leda till fragmentering.
Blockerar du ping på din ASA eller kärnrouter? Ping är användbart för Path MTU Discovery.
Vad har du för crypto ipsec transform-set? Typen av ESP-kryptering kan påverka prestandan. Kolla in den här sidan för ett exempel på 3DES vs AES256.
Det är inte vanlig internet. För enkelhetens skull refererar jag till vårt campus uplink som ISP eftersom de i min synvinkel är i princip en ISP. Campus stöder Jumbo frames.
vpn# show run all | i mtu
mtu outside 1500
crypto ipsec security-association pmtu-aging infinite
anyconnect mtu 1406
vpn# show run all | i sysopt connection
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
sysopt connection permit-vpn
sysopt connection reclassify-vpn
no sysopt connection preserve-vpn-flows
vpn#"},{