本帖最后由 Sangfor_Mr_He 于 2018-12-30 15:35 编辑
事情的经过是这样的: 前天客户那边通过VPN访问网页打开很慢,然后我过去看了下,是某公司的AC和对端的Juniper防火墙对接的VPN,Ping流量正常,但是访问那边的web服务器很慢,后来就抓包看了下,再用Ping测试,发现是TCP的MSS的问题,导致MTU过大出现了分片,然后找到链路最小的MTU在AC上修改了就好了。
我想说的是:这种情况某公司的设备只能通过修改MTU来限制TCP的MSS,而其它厂家比如思科的设备就可以在接口下单独修改TCP的MSS,如果是TCP的MSS的问题而修改了接口的MTU那么势必会影响其它非TCP的流量,还有就是思科的设备关于MTU,它可以修改二层的MTU和三层的MTU(比如IP的MTU、MPLS的MTU),而某公司的只能修改接口的MTU我猜应该是二层MTU。开放度太低可设置的东西太少。
还有NAT的问题: 如果两边要通过IPSecVPN把两地的内网网段打通,那么两边的内网网段必须是不同的,但有时候碰见的客户两边的内外网段确实是一样的,如果强行修改客户又不同意(有些东西没法动修改起来太麻烦),那么这个时候VPN是没法建立的,但是思科或者其它厂家的是可以的,只要在进入VPN隧道之前把源IP和目标IP做转换就可以了,但是某公司的问400说不可以必须改网段,希望某公司能更加灵活一点。 |