針對周遊多個設備之 IPsec 流量的最佳做法組態設定

您應瞭解特定 IPsec 連線組態設定的效能問題，以及可消除該效能問題的最佳做法建議。

當客戶環境中包含多個 Cloud Edge 裝置且具有多個 IPsec VPN 連線時，可能會發生效能問題。當流量通過多個 IPsec 連線時，Cloud Edge 會在流量每周遊一個連線時就掃瞄一次流量。多次掃瞄並不會提供更佳的偵測結果，而多次掃瞄相同的流量反倒會令效能下降。

為了避免任何不必要的掃瞄，最佳做法是只讓離輸入流量最近的 Cloud Edge 裝置掃瞄一次流量，並設定從來源到目標這條路由中的其他裝置略過掃瞄。

為了達到這個目的，您可以使用設備策略規則，讓離 IPsec 流量最近的設備以外的其他所有設備略過掃瞄。

最佳做法組態設定規則

設備在組態設定中的角色	規則指導方針
完整網狀 IPsec 設備	建立一個「處理行動」為「略過」流量的策略規則，然後在指定的欄位新增下列項目：目標新增一個網路物件，其中包含設備本身的私人網路。來源使用者/使用者群組/IP 位址/FQDN/MAC 位址新增一個網路物件，其中包含網狀 VPN 中的所有其他私人網路。
星狀 IPsec 設備的分支	建立一個「處理行動」為「略過」流量的策略規則，然後在指定的欄位新增下列項目：目標新增一個網路物件，其中包含設備本身的私人網路。來源使用者/使用者群組/IP 位址/FQDN/MAC 位址新增一個網路物件，其中包含星狀 VPN 中的所有其他私人網路。
星狀 IPsec 設備的中樞	建立一個「處理行動」為「略過」流量的策略規則，然後在指定的欄位新增下列項目：目標新增一個網路物件，其中包含所有私人網路（包括其本身的私人網路）。來源使用者/使用者群組/IP 位址/FQDN/MAC 位址新增一個網路物件，其中包含星狀 VPN 中的所有分支私人網路（不包含其本身的私人網路）。

設備在組態設定中的角色

規則指導方針

完整網狀 IPsec 設備

建立一個「處理行動」為「略過」流量的策略規則，然後在指定的欄位新增下列項目：

星狀 IPsec 設備的分支

建立一個「處理行動」為「略過」流量的策略規則，然後在指定的欄位新增下列項目：

星狀 IPsec 設備的中樞

建立一個「處理行動」為「略過」流量的策略規則，然後在指定的欄位新增下列項目：

設備	角色	私人網路	略過規則
分支 IPsec 設備 (GS1)	星狀分支	NS1	處理行動：略過來源：NH1、NS2（所有其他私人網路）目標：NS1（其本身的私人網路）
中樞 IPsec 設備 (GH1)	星狀中樞	NH1	處理行動：略過來源：NS1、NS2（所有其他私人網路）目標：NS1、NS2 和 NH1（所有其他私人網路）
分支 IPsec 設備 (GS2)	星狀分支	NS2	處理行動：略過來源：NH1、NS1（所有其他私人網路）目標：NS2（其本身的私人網路）