F1000-AK135防火墙与华为USG6000E-S建立IPSecVPN

 属于正常范围：200Mbps物理带宽经IPSec加密后实测100Mbps（即50%损耗）是常见现象，原因包括：

加密开销：IPSec的ESP/AH封装、加密算法（如AES-256/SHA1）会消耗约30-50%的带宽。

协议头部：新增IPSec头部（通常增加20-60字节/包）降低有效载荷率。

设备性能瓶颈：尤其当F1000为较低端型号（如F100-C-EI）时，其硬件加密性能可能无法跑满200Mbps（参考案例中F100-C-EI在100M带宽下实测仅5Mbps）。

默认限速机制：知识库明确指出Tunnel接口缺省带宽仅64Kbps（配置指导6W614），若未手动调高会直接限速。

100Mbps的IPSec VPN隧道转发速率在200Mbps出口带宽条件下属于**偏低但常见**的情况，是否正常需结合设备性能、加密算法和网络环境综合判断。

### 一、速率评估标准：
- **理论损耗**：IPSec加密会引入封装开销（ESP/AH头、IP头等），通常带宽利用率为原始带宽的70%~90%。
- **合理预期**：在200Mbps链路下，**140~180Mbps**为较理想表现；**100Mbps左右**说明存在优化空间，但非异常。
- **合格标准**：无统一国际标准，一般认为**达到物理带宽的70%以上**（即≥140Mbps）为良好。

### 二、可能影响因素及优化建议：

#### 1. **硬件转发未开启（重点）**
- 如您提到的华为USG案例，**默认开启硬件转发**才能达到线速加密。
- **检查命令**：
```bash
display ipsec statistics
display ipsec sa
display nat session cardinal
```
- **确认是否启用硬件加密**：
```bash
display ipsec sa
```
查看SA信息中是否有`Hardware`标识。若为软件处理（Software），则性能受限。

- **解决方法**：
- 确保使用支持硬件加密的型号；
- 检查配置是否触发了硬件卸载（如正确引用ACL、安全策略顺序）；
- 华为USG可通过`undo ipsec hardware-acceleration disable`确保开启（具体以版本为准）。

#### 2. **加密算法选择**
- 高强度算法（如AES-256-GCM、SHA2-512）计算开销大。
- **优化建议**：
- 改用 **AES-128-GCM**（兼具安全与性能）；
- 避免使用SHA2-256以上哈希算法做IKE协商，除非合规要求。

#### 3. **MTU/MSS不匹配导致分片**
- IPSec增加封装头（约36~60字节），易引发分片，降低效率。
- **优化建议**：
- 在内网接口配置MSS限制：
```bash
interface GigabitEthernet0/0
ip tcp adjust-mss 1400
```

#### 4. **NAT与策略顺序干扰**
- NAT和IPSec策略顺序不当可能导致流量未命中硬件加速。
- **检查点**：
- NAT outbound规则不应覆盖IPSec保护的流量；
- 添加ACL排除IPSec感兴趣流：
```bash
acl number 3000
rule permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
```
NAT outbound 3001 应排除此流量。

#### 5. **启用PFS及DH组级别过高**
- 启用PFS（如dh-group14以上）增加密钥协商负担。
- **建议**：测试阶段可关闭PFS或使用`group 14`平衡性能与安全。

#### 6. **设备性能瓶颈**
- F1000与USG型号需确认其IPSec吞吐规格：
- 若设备标称IPSec吞吐 < 150Mbps，则100Mbps已接近极限。

---

### 三、推荐优化步骤总结：

| 步骤 | 操作 |
|------|------|
| 1 | 确认总部与分支设备均启用**IPSec硬件加速** |
| 2 | 调整加密套件为 `AES-128-GCM` + `SHA1`（测试用） |
| 3 | 配置`tcp adjust-mss 1400`防止分片 |
| 4 | 检查ACL/NAT策略，确保IPSec流量不被NAT且正确匹配 |
| 5 | 使用`display ipsec sa`确认SA建立在硬件 |
| 6 | 升级设备软件版本至最新稳定版（修复潜在性能Bug） |

---

### 结论：
✅ **100Mbps不算理想，但常见**；
✅ **目标应达140Mbps以上**；
✅ **优先排查硬件转发是否启用**，这是最大瓶颈所在。

> 参考：华为USG系列典型IPSec性能表现，中高端型号在开启硬件加速后可支持300Mbps以上IPSec吞吐。

一、100Mbps VPN 隧道速率是否正常？合格标准是什么？

1. 速率是否正常

100Mbps 属于正常范围，但存在较大优化空间。IPSec VPN 因需对数据做加密、认证及 ESP 封装（单包额外增加 80 - 100 字节开销），会产生性能损耗，且设备 CPU 处理加密运算也会限制速率。两边出口 200Mbps，隧道速率 100Mbps 对应约 50% 的损耗，符合中低配防火墙（USG 系列、F1000 基础款）在默认配置下的损耗水平（通常损耗 30% - 60%）。若设备未开启硬件加速、用了低效加密算法，这个损耗比例很常见。

2. 合格标准（无统一行业强制标准，以场景化基准判断）

场景         合格速率区间        核心参考依据

默认配置（通用加密算法 + 无硬件加速）    出口带宽的 40% - 60%         适配中低端防火墙 CPU 的处理能力，比如 200Mbps 出口对应 80 - 120Mbps 隧道速率

优化后（高效算法 + 硬件加速）     出口带宽的 70% - 90%         高端防火墙或开启硬件加速后，加密开销大幅降低，200Mbps 出口对应 140 - 180Mbps 隧道速率

关键业务场景（如高清视频、大文件传输）  不低于出口带宽的 70%       避免卡顿、传输延迟，保障业务流畅性

综上，当前 100Mbps 虽合格，但优化后有望提升至 140 - 180Mbps，更贴合 200Mbps 出口的业务需求。

二、针对性优化方案（按优先级排序，适配 USG 与 F1000）

优化核心思路是降低加密开销、避免流量分片、释放 CPU 压力、保障 VPN 带宽优先级，以下是具体可落地的配置步骤，分别适配华为 USG 和 H3C F1000。

1. 优先调优 IPSec 加密算法（性价比最高）

低效加密算法（如 3DES、SHA - 1）会极大占用 CPU 资源，换成 AES - GCM 这类高效算法，能显著降低损耗。AES - GCM 是 AEAD 算法，加密和认证并行执行，性能远超 “3DES + SHA - 1” 组合。

（1）华为 USG 配置

# 1. 创建高效IPSec提议

ipsec proposal IPSEC_HIGH_PERF

 esp encryption-algorithm aes-256-gcm  # 优先选GCM模式，兼顾性能与安全

 esp authentication-algorithm null  # GCM算法自带认证，无需额外配置认证算法

# 2. 将提议关联到IPSec策略（替换原有默认提议）

ipsec policy VPN_POLICY 10 isakmp

 proposal IPSEC_HIGH_PERF

（2）H3C F1000 配置

# 1. 创建高效IPSec转换集

ipsec transform-set HIGH_PERF

 encapsulation-mode tunnel

 esp encryption-algorithm aes-256-gcm

 esp authentication-algorithm sha384  # F1000部分版本需显式配置GCM配套认证

# 2. 关联到IPSec策略

ipsec policy VPN_POLICY 1 isakmp

 transform-set HIGH_PERF

2. 启用硬件加密加速（释放 CPU 压力）

华为 USG 和 H3C F1000 大多自带硬件加密引擎，默认可能未开启，开启后能将加密运算从 CPU 转移到专用芯片，大幅提升速率，还能降低 CPU 利用率。

（1）华为 USG 配置

# 查看硬件加密引擎状态

display crypto-engine

# 启用硬件加速（默认通常已启用，若未启用执行以下命令）

crypto-engine enable

（2）H3C F1000 配置

# 查看硬件加速状态

display crypto-engine status

# 启用硬件加速

crypto-engine enable

验证：优化后执行display cpu-usage，若 IPSec 业务对应的 CPU 占用率从 50% 以上降至 20% 以下，说明生效。

3. 优化 MTU 与 MSS，避免数据分片

IPSec 封装会让数据包变大，若超过公网链路 MTU（默认 1500），会触发分片重组，严重拖慢速率。一般将隧道 MTU 设为 1400，同时钳位 TCP MSS，避免 TCP 数据包分片。

（1）华为 USG 配置（在隧道接口或 IPSec 策略模板）

# 方式1：在IPSec策略中配置MSS钳位

ipsec policy-template VPN_TMPL 10 20

 tcp mss 1360  # MSS = MTU - TCP头（20） - IP头（20），1400 - 40 = 1360

# 方式2：在出口接口配置

interface GigabitEthernet0/0/1  # 外网出口接口

 mtu 1400

 tcp adjust-mss 1360

（2）H3C F1000 配置

# 在虚拟隧道接口或外网出口接口配置

interface GigabitEthernet1/0/1  # 外网出口

 mtu 1400

 tcp mss 1360

# 若绑定了IPSec策略，也可在策略中配置

ipsec policy VPN_POLICY 1 isakmp

 tcp mss 1360

验证：用ping -f -l 1400 对端内网IP测试，若不丢包，说明 MTU 配置合理。

4. 配置 QoS，保障 VPN 流量带宽优先级

若出口带宽被其他业务（如普通上网、下载）抢占，VPN 速率会被压低。通过 QoS 为 IPSec 流量分配专属带宽，限制非关键业务的带宽占比。

（1）华为 USG 配置

# 1. 定义IPSec流量（ACL匹配两端内网网段）

acl number 3000

 rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255  # 总部-分支网段

# 2. 创建流量分类

traffic classifier VPN_CLASS operator or

 if-match acl 3000

# 3. 创建流量行为，保障160Mbps带宽

traffic behavior VPN_BEH

 bandwidth guarantee 160000  # 保障160Mbps，预留部分冗余

# 4. 绑定策略并应用到出口

traffic policy VPN_POLICY

 classifier VPN_CLASS behavior VPN_BEH

interface GigabitEthernet0/0/1

 traffic-policy VPN_POLICY outbound

（2）H3C F1000 配置

# 1. 定义IPSec流量ACL

acl advanced 3000

 rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

# 2. 创建流量分类

traffic classifier VPN_CLS operator or

 if-match acl 3000

# 3. 创建流量行为

traffic behavior VPN_BEH

 bandwidth guaranteed 160000

# 4. 绑定策略并应用

traffic policy VPN_POL

 classifier VPN_CLS behavior VPN_BEH

interface GigabitEthernet1/0/1

 qos apply policy VPN_POL outbound

5. 其他辅助优化

减少 IPSec SA 协商开销

避免 SA 频繁重建消耗资源，适当延长 SA 生存时间（默认通常 1 小时，可调整至 8 小时）。华为 USG 在ipsec policy中配置security acl 3000，并设置sa duration time 28800；H3C F1000 在ipsec transform-set关联后，执行sa duration time 28800。

关闭无用功能

禁用 IPSec 隧道的 ARP 学习、日志冗余输出等非必要功能，减少设备额外开销。例如 H3C F1000 可执行vxlan tunnel arp-learning disable（若关联 VXLAN），华为 USG 关闭调试日志级别。

升级设备固件

若设备固件版本较老，可能存在 IPSec 性能 Bug。升级到厂商推荐的稳定版本（华为 USG 建议升级至 V500R005 及以上，H3C F1000 建议升级至 Release 1110 及以上），部分版本会优化加密运算效率。

三、优化效果验证

用 iperf3 再次测试，同时通过命令监控状态：

速率验证：iperf3 -c 对端内网IP -t 60，优化后正常可达到 140 - 180Mbps。

CPU 验证：华为 USG 执行display cpu-usage，H3C F1000 执行display cpu-usage，确保 CPU 利用率低于 30%。

IPSec 状态验证：华为 USG 执行display ipsec sa statistics，H3C F1000 执行display ipsec sa statistics，查看加密 / 解密速率是否提升，无异常丢包。