点对点IPsecVPN 发现有性能损耗 100M的带宽通过 iper3测试只有34.6M左右

 1. 硬件性能瓶颈

   加密/解密处理能力不足：低端设备的CPU可能无法高效处理IPsec加密。

     升级高性能设备，或选择带硬件加密芯片的。

     检查设备CPU利用率：display cpu-usage，若持续高于70%则需优化或换设备。

 2. 加密算法优化

   低效算法导致性能下降：DES/MD5等算法性能较差（配置中多次使用esp encryption-algorithm des-cbc和authentication-algorithm md5）。

   建议：

     更换高效算法（如AES-GCM），命令示例：

       ipsec transform-set [名称] 

       esp encryption-algorithm aes-gcm-128 

       esp authentication-algorithm null  // GCM模式无需单独认证

 3. 快转功能未启用

   软件转发效率低：信息中提到关闭快转时NAT失效（undo ip fast-forwarding enable），同理影响IPsec性能。

   建议：

     启用快转加速：ip fast-forwarding enable

     若需负载均衡可保留：undo ip fast-forwarding load-sharing

IPsec封装导致报文变大，若未设置TCP MSS可能导致分片。

     解决方案：隧道接口下配tcp mss 1200