故障现象:SSL VPN终端访问内网资源慢、IPSEC 点到点传输慢
考虑思路:
1.带宽策略(限速)配置情况
2.内容安全配置情况
3.接口限速配置情况
4.内外层报文流量统计
5.抓包看防火墙发送速率
6.TCP业务的话,改下TCP MSS为1200
确认上述配置无误后(比如禁用或者设置保证带宽看看效果);且防火墙针对内层报文和外层报文做流统的结果显示没有丢弃则和防火墙的配置无关
于SSL VPN而言,访问速率,与终端到VPN网关的时延相关。如果终端Ping VPN网关的时延在1-2毫秒,作为代理设备的VPN网关动态调整窗口次数少,VPN下载速率就会比较高。相反,如果终端Ping网关时延比较大(如60ms),VPN网关动态调整窗口次数频繁,传输速率就会下降不少。
配置firewlal tcp-mss 1200、SSL VPN网络扩展启用快速传输模式,可以适当提升VPN访问速率,尤其是在公网存在时延的背景下。要将终端到VPN网关的udp 443链路给放行,这条链路用于快速传输模式的建立,快速传输模式需要在secoclient客户端选择。
ip service-set udp_443 type object
service protocol udp source-port 0 to 65535 destination-port 443
quit
security-policy
rule name sllvpn
source-zone untrust
destination-zone local
service udp_443 新建自定义服务把udp 443的端口放行
action permit
本文暂时没有评论,来添加一个吧(●'◡'●)