Nunca he configurado una interfaz de túnel como esta. ¿Algún puntero sobre cómo aplicar cambios a una interfaz de túnel específica?

interface GigabitEthernet8
 description Softnet internet link
 ip address x.x.x.x 255.255.255.248
 zone-member security OUTSIDE
 duplex auto
 speed auto
 no cdp enable
 crypto map Styria-VPN

 @Joseph W. Doherty usa IPSec bajo la interfaz WAN Veo su adjunto.
@igor.hamzic81 en la interfaz anterior 

Entonces he estado cambiando el MTU y MSS bajo la interfaz correcta sin éxito, me temo.

reducir más la MTU

ip mtu 1360 
ip tcp mss 1300

Debe aplicar el

MTU (unidad de transmisión básica)

y

adjust-mss

a las interfaces de túnel, no a las interfaces físicas.

Necesitaré confirmación de OP o revisión de la configuración adjunta (en mi teléfono, no puedo abrir archivos adjuntos), pero es posible que el cifrado no esté utilizando ninguna interfaz de túnel.  (Si es así, no he visto ese uso en años).

Cuando lo haga

show ip int brief

Veo lo siguiente:

Interface IP-Address OK? Method Status Protocol
Async3 unassigned YES unset administratively down down
BRI0 unassigned YES NVRAM administratively down down
BRI0:1 unassigned YES unset administratively down down
BRI0:2 unassigned YES unset administratively down down
FastEthernet0 unassigned YES NVRAM administratively down down
GigabitEthernet0 unassigned YES unset up up
GigabitEthernet1 unassigned YES unset administratively down down
GigabitEthernet2 unassigned YES unset administratively down down
GigabitEthernet3 unassigned YES unset administratively down down
GigabitEthernet4 unassigned YES unset administratively down down
GigabitEthernet5 unassigned YES unset administratively down down
GigabitEthernet6 unassigned YES unset administratively down down
GigabitEthernet7 unassigned YES unset administratively down down
GigabitEthernet8 x.x.x.x YES NVRAM up up
NVI0 x.x.x.x YES unset up up
Vlan1 unassigned YES unset administratively down down
Vlan15 10.71.3.1 YES NVRAM up up
Vlan16 10.71.1.1 YES NVRAM up up
Vlan20 10.71.2.1 YES NVRAM up up

Las interfaces Gi8 y NVI0 tienen la misma IP pública.

Acabo de borrar la mayor parte de lo que esta respuesta contenía anteriormente, porque aunque todavía sospecho cuál es la causa probable de su problema de rendimiento, y además creo, que podría ser remediado, no es una empresa trivial.  El uso de conformadores también sería probablemente una parte clave de la mitigación, al igual que el acceso a Internet desde la sede central para el tráfico de Internet normal o sin procesar separado del tráfico de Internet de tránsito VPN.

Su mejor opción podría ser tratar de encontrar un consultor para trabajar con usted.

Por cierto, las estadísticas del modelador de sucursales muestran:

463676 packets, 201109055 bytes
(queue depth/total drops/no-buffer drops) 0/510/0
(pkts output/bytes output) 463166/200452531

463676 - 463166 = 510 packets dropped (.11%)
201109055 - 200452531 = 656,524 bytes dropped

Ahora podemos "ver" lo que podría (¿por qué podría? porque tampoco sabemos cómo su proveedor aplica la velocidad de 50 Mbps) haber estado sucediendo dentro del trayecto de tránsito de Internet.  (De estas estadísticas, de la sucursal a la sede central, no parece estar experimentando gran parte de un problema.)

---

@Joseph W. Doherty escribió:

es posible que crypto no esté utilizando ninguna interfaz de túnel.

---

Buen punto. Estaba pensando en DMVPN.

En ese caso, el

adjust-mss

debe estar en la interfaz interna de los dispositivos en cada lado del link. No cambiaría la MTU.

"Buen punto. Estaba pensando en DMVPN".

Sí o p2p GRE o túneles VTI.

"En ese caso, el

adjust-mss

debe estar en la interfaz interna de los dispositivos en cada lado del link."

Con el antiguo enfoque de interfaz criptográfica, no hay equivalente de interfaz de túnel.  En el archivo adjunto, debería funcionar si se aplica en todas las interfaces internas (en este caso, las SVI) que utilizarán criptografía.

Si se aplica en la interfaz criptográfica, hmm Me pregunto - considerar 

TCP adjust-mss

a la luz de:

Porque

crypto map

está conectado directamente a las interfaces físicas, no hay una separación clara de funciones en el transporte subyacente frente a la sesión IPsec de superposición. Esto añade complejidad a las funciones de soporte que tratan con el tráfico pre y post encapsulado; por ejemplo, QoS pre-classify y IP access-group. Además, hay funciones que funcionan sólo con el tráfico encapsulado anterior o posterior, pero no con ambos; por ejemplo, captura de paquetes incrustada y NetFlow. No se admite el tráfico multidifusión, el tráfico no IP ni el tráfico de múltiples rutas de igual coste (ECMP).

Lógicamente,

TCP adjust-mss

se debe aplicar al flujo de texto sin formato.

Oh, por cierto, también mirando lo anterior, se encontró, el

crypto map approach

está a punto de salir.

"No cambiaría la MTU".

Cambie la MTU, definitivamente no cambie la MTU IP, generalmente se recomienda.  Sin embargo, el mismo problema con lo anterior no debería aplicarse al tráfico cifrado.  Si se aplica a la interfaz criptográfica, ¿se aplica al texto no cifrado, cifrado o ambos?

También se puede utilizar en las SVI.

Aunque a menudo se sugiere en general, para evitar la fragmentación, en el mundo real, probablemente importa poco cuando

TCP adjust-mss

está en uso.  Esto se debe a que sospecho que la mayoría del tráfico no TCP no establece un bit DF.  Y para el tráfico TCP,

TCP adjust-mss

no depende de la configuración del bit DF.