您應瞭解特定 IPsec 連線組態設定的效能問題,以及可消除該效能問題的最佳做法建議。
當客戶環境中包含多個 Cloud Edge 設備且具有多個 IPsec VPN 連線時,可能會發生效能問題。當流量通過多個 IPsec 連線時,Cloud Edge 會在流量每周遊一個連線時就掃瞄一次流量。多次掃瞄並不會提供更佳的偵測結果,而多次掃瞄相同的流量反倒會令效能下降。
為了避免執行任何不必要的掃瞄,最佳做法是只讓離輸入流量最近的 Cloud Edge 設備掃瞄一次流量,並設定從來源到目標這條路由中的其他設備略過掃瞄。
為了達到這個目的,您可以使用設備策略規則,讓離 IPsec 流量最近的設備以外的其他所有設備略過掃瞄。

最佳做法組態設定規則

設備在組態設定中的角色 規則指導方針
完整網狀 IPsec 設備
建立一個「處理行動」為「略過」流量的策略規則,然後在指定的欄位新增下列項目:
  • 目標
    新增一個網路物件,其中包含設備本身的私人網路。
  • 來源使用者/使用者群組/IP 位址/FQDN/MAC 位址
    新增一個網路物件,其中包含網狀 VPN 中的所有其他私人網路。
星狀 IPsec 設備的分支
建立一個「處理行動」為「略過」流量的策略規則,然後在指定的欄位新增下列項目:
  • 目標
    新增一個網路物件,其中包含設備本身的私人網路。
  • 來源使用者/使用者群組/IP 位址/FQDN/MAC 位址
    新增一個網路物件,其中包含星狀 VPN 中的所有其他私人網路。
星狀 IPsec 設備的中樞
建立一個「處理行動」為「略過」流量的策略規則,然後在指定的欄位新增下列項目:
  • 目標
    新增一個網路物件,其中包含所有私人網路(包括其本身的私人網路)。
  • 來源使用者/使用者群組/IP 位址/FQDN/MAC 位址
    新增一個網路物件,其中包含星狀 VPN 中的所有分支私人網路(不包含其本身的私人網路)。

範例:包含一個中樞和兩個分支的星狀 Site-to-Site IPsec VPN

設備
角色
私人網路
略過規則
分支 IPsec 設備 (GS1)
星狀分支
NS1
  • 處理行動:略過
  • 來源:NH1、NS2(所有其他私人網路)
  • 目標:NS1(其本身的私人網路)
中樞 IPsec 設備 (GH1)
星狀中樞
NH1
  • 處理行動:略過
  • 來源:NS1、NS2(所有其他私人網路)
  • 目標:NS1、NS2 和 NH1(所有其他私人網路)
分支 IPsec 設備 (GS2)
星狀分支
NS2
  • 處理行動:略過
  • 來源:NH1、NS1(所有其他私人網路)
  • 目標:NS2(其本身的私人網路)