AR3200与C厂对接IPSEC VPN能够相互PING通,但数据业务不正常

发布时间:  2016-01-15 浏览次数:  351 下载次数:  0
问题描述
AR3200与C厂对接IPSEC VPN能够相互PING通,但数据业务不正常。
 
处理过程
1、分析能够互相PING能,证明两端IPSEC肯定都起来的感兴流等配置均没有问题

2、更改TCP-MSS 1200后问题解决。更改方法:

[AR-GigabitEthernet0/0/1]tcp adjust-mss 1200
根因
MSS:tcp三次握手中(SYN,SYN/ACK阶段)会协商MSS值,取小值。
 


当MSS+IPSEC头+ESP头+GRE头+IP头+TCP头>接口MTU会造成分片,而过多分片和对分片数据IPSEC加解密操作会严重影响CPU性能,造成丢包等。

END