如上图所示，A/B设备为AR2200E类型，A和B之间部署了配置IPSec保护的DSVPN，A/B设备分别作为CPE设备上联运营商的PE，动态路由协议为BGP，终端盒webserver之间可以ping通，但是访问webserver的时候无法访问。

　　处理过程

　　1、通过ping测试发现可以ping通webserver，但是访问webserver的时候发现无法打开网址;

　　2、通过在B端下联webserver接口获取报文头进行分析，发现有大量的TCP Dup ACK信息的报文;

　　3、通过分析组网拓扑和webserver的报文，分析是由于使用IPSec保护的DSVPN，导致报文过大，在访问webserver的时候由于是tcp协议，但是发送的IP报文长度超过MTU值，则IP报文会进行分片处理，这导致tcp报文分片并无法访问webserver;

　　4、通过tcp adjust-mss命令设置A连接B的Tunnel接口或者A下联终端的接口的tcp较大报文段长度为1100(小于传输链路的mtu值)。