小贝防火墙sslvpn慢

您好，小贝的防火墙。。。。性能本来就差

小贝 F100-C-XI SSL VPN 下载慢完整根因 + 分步优化方案
一、核心现象对比定位（出口设备 SSL VPN20 秒，旁挂小贝 1-2 分钟）
组网关键短板（首要瓶颈）
旁挂端口映射 = 两次 NAT 转发，多一层设备处理损耗
外网流量流程：公网→出口防火墙 NAT 映射→核心交换机→小贝 F100-C-XI 解密 VPN→内网服务器；
出口本机 SSL VPN 流程：公网→出口防火墙直接解密 VPN→内网服务器；
小贝多了一次 NAT 转换、一次跨设备三层转发，大文件 TCP 传输下重传、分片损耗被放大。
F100-C-XI 硬件性能短板
小贝入门款防火墙 SSL 加密无专用硬件加速芯片，SSL/TLS 加解密全靠 CPU 软转发；出口防火墙多为中高端型号带 SSL 硬件加速，同等流量吞吐差距极大。
路径 PMTU 黑洞、TCP 吞吐参数未优化，仅改 mss 治标不治本
SSL VPN 网关传输模式、加密套件、QOS 流控未做专项调优
二、分步骤排查优化（按优先级执行）
1. 组网转发层优化（解决跨设备 NAT / 来回路径不一致损耗）
（1）出口防火墙映射必须开启源进源出
外网访问小贝 VPN 端口，回程流量必须从同一外网接口转发，否则出口防火墙会话校验异常，频繁丢包重传：
出口防火墙配置示例：
bash
运行
# 服务器映射（端口映射）绑定源进源出
nat server protocol tcp global 出口公网IP 443 inside 小贝内网IP 443 reverse
reverse关键字开启源进源出，避免回程走其他外网链路导致会话断流。
（2）核心交换机路由优化，关闭不必要 ACL / 安全策略限速
小贝与核心互联接口放通全量流量，不做应用识别、流量审计拦截；
确认小贝内网回程路由指向核心，无路由环路、静态路由优先级冲突；
关闭核心交换机端口风暴抑制、ACL 限速，保证千兆线速转发。
（3）推荐最优改造方案（根治旁挂性能损耗）
将小贝 F100-C-XI 改为出口网关直连公网，公网 IP 直接配置在小贝外网口，取消出口设备端口映射，消除两层 NAT 转发损耗，速度会和出口设备 SSL VPN 持平。
2. SSL VPN 网关专项性能调优（Comware V7 小贝通用）
（1）切换 SSL 传输模式为 UDP（关键提速点）
默认 TCP 模式封装，外层 TCP + 内层 TCP 双重拥塞控制，轻微丢包就会大幅降速；UDP 模式无双重 TCP 冲突，大文件下载速度提升 50% 以上。
bash
运行
system-view
webvpn context sslvpn
gateway gw1
# 开启UDP隧道传输
tunnel mode udp
# 同步降低UDP隧道mss，推荐1300
tunnel mss 1300
（2）优化加密套件，降低 CPU 消耗
关闭高强度国密 / 老旧弱加密，选用 CPU 开销更低的 AES-GCM 加速套件：
bash
运行
webvpn context sslvpn
gateway gw1
ssl cipher suite aes128-gcm-sha256 aes256-gcm-sha384
# 关闭TLS1.0/1.1，仅保留TLS1.2，减少握手消耗
ssl version tls1.2
（3）关闭冗余功能，释放 CPU 算力
bash
运行
webvpn context sslvpn
gateway gw1
# 关闭传输压缩（压缩解压消耗大量CPU，大文件反而变慢）
compression disable
# 关闭终端安全检测、文件审计（仅业务VPN场景）
endpoint-check disable
file-audit disable
（4）调大 SSL VPN 隧道 TCP 缓存，提升吞吐
bash
运行
system-view
# 全局调大TCP收发缓冲区
tcp window-size large
# webvpn专用缓存优化
webvpn tunnel buffer-size 10240
3. PMTU / 分片完整优化（仅改 AC 接口 mss 不够，全局联动）
你仅修改 ssl-vpn-ac 接口 mss，外层出口防火墙、核心交换机未同步放行 ICMP 分片报文，存在 PMTU 黑洞，大包静默丢弃反复重传：
出口、核心、小贝三层设备统一放行 ICMP 不可达报文：
bash
运行
acl number 3000
rule permit icmp icmp-type fragmentation-needed
security-policy
rule permit icmp-type fragmentation-needed
小贝 SSL VPN 隧道固化 mss=1300（最优值，无需反复切换）
bash
运行
webvpn context sslvpn
gateway gw1
tunnel mss 1300
# AC接口同步配置
interface SSL-VPN-AC0
tcp mss 1300
互联物理接口 MTU 统一 1500，不修改物理口 MTU。
4. 设备 CPU / 硬件资源排查
业务下载文件时查看 CPU 利用率：display cpu-usage
F100-C-XI 无 SSL 硬件加速，加密时 CPU 占用极易超过 80%，形成性能瓶颈；出口防火墙带硬件加速 CPU 占用低。
关闭小贝所有无关业务：ACG 应用识别、IPS 入侵防御、病毒过滤、流量统计，SSL VPN 业务单独占用 CPU 资源。
bash
运行
system-view
undo ips enable
undo app-control enable
undo anti-virus enable
检查 SSL-VPN-AC 虚拟接口是否存在队列拥塞：display qos queue interface SSL-VPN-AC0，无自定义 qos 限速、队列丢弃。
5. 会话与带宽兜底校验（你已关闭限速，补充确认）
确认全局、用户组、网关三层均无带宽 / 会话限制：
bash
运行
# 全局无用户带宽限制
display webvpn user-group
# 网关无隧道带宽限流
display webvpn gateway
关闭连接数限制：undo webvpn session-limit per-user
三、快速验证对比测试（定位瓶颈）
内网直连小贝 VPN：电脑接核心交换机，内网 IP 访问小贝 SSL VPN 下载文件，若速度正常→瓶颈在出口端口映射跨设备转发；若内网依旧慢→小贝设备 CPU/SSL 配置性能瓶颈。
公网测试抓包：外网客户端抓包，观察是否大量 TCP Retransmit 重传包，存在则为 PMTU / 源进源出路由问题。
CPU 观测：下载全程执行display cpu-usage，若加密进程 CPU 持续 90%+，确认是小贝入门机型无 SSL 硬件加速的性能上限。
四、长期根治方案
短期：全部执行上述 SSL 配置、路由源进源出、ICMP 放行优化，切换 UDP 隧道传输，关闭冗余安全功能；
中期：割接小贝 F100-C-XI 为出口主网关，取消端口映射，消除多层 NAT 转发损耗；
长期：入门小贝无 SSL 硬件加速，并发 / 大文件场景性能天然弱于中高端防火墙，高流量场景建议更换带 SSL 加速的 SecPath 系列网关。