Казалось бы, много уже сказано о том, что нужно проверять соответствие MTU на интерфейсах и что с этой вещью могут быть связаны самые разнообразные проблемы. Еще раз отмечаю про себя, что на этом легко попасться. Ситуация: два канала, попакетная балансировка, в основном все работает нормально, но вот Radmin открывает удаленный хост медленно или вообще не открывает. В общем, TCP не в порядке.

Итак, площадки соединены двумя GRE-туннелями, защищенными IPSec. В каждом прописано ip tcp adjust-mss (без этого все было бы совсем плохо):

interface Tunnel1
 ...
 ip load-sharing per-packet
 ip tcp adjust-mss 1436
end

Если мы делаем что-то типа ping xx.xx.xx.xx size 2000и видим .!.!.!.!.!, то вот это оно и есть. В моем случае дело в том, что с одной стороны туннели выходят с обычных интерфейсов Fast Ethernet, с другой — один тоже из Fast Ethernet, а другой — из BVI1. В bridge-group 1 входит интерфейс ATM0.1 (ADSL). Заметим, что изначально MTU нигде явно не указан. В то же время, сделав show ip interface, можно увидеть, что MTU на BVI1 — 4470 байт в отличие от 1500 на другом конце. Таким образом,

interface BVI1
 ...
 mtu 1500
end

Резюме: везде спокойно проверять MTU. Подробная лекция у Cisco.