Защитна стена - увеличаване на пропускателната способност / увеличаване на скоростта за WAN и VPN

В тази статия ще ви покажем как можете да увеличите скоростта си и да повишите пропускателната способност на интернет и VPN с помощта на уеб графичния потребителски интерфейс [серия USG FLEX/ATP/VPN]. Тя показва как статистиката на трафика, управлението на честотната лента и UTM функциите влияят на пропускателната способност на вашето устройство. Освен това показва как да извършвате iPerf Testing през VPN тунела и да използвате по-ниско ниво на енкриптиране и удостоверяване, да използвате командата crypto-boost и да проверявате фрагментацията/MSS корекцията, за да увеличите VPN пропускателната способност.

Първо, ако имате фърмуер версия 5.10, можете да разгледате тази статия, за да увеличите скоростта си или да преминете към най-новия фърмуер.

Отстраняване на неизправности и увеличаване на пропускателната способност на WAN

1.1 Статистика на трафика

Влезте в менюто Traffic Statistics (Статистика на трафика) и премахнете полето "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - не забравяйте да натиснете бутона "Apply" (Приложи) , след като премахнете отметката от полето на всяка UTM функция:

След това отидете в "Монитор" -> "Статистика на трафика" -> "Статистика на трафика" и махнете отметката от квадратчето "Събиране на статистика" и там:

В зависимост от обема на трафика в защитната стена би трябвало да видите леко увеличение на пропускателната способност. В нашата тестова среда трафикът не е много голям и следователно няма реално увеличение на пропускателната способност.

1.2 Управление на пропускателната способност

Можете също така да деактивирате управлението на честотната лента, което защитава честотната лента на защитната стена. Отидете в "Конфигурация" -> "BWM" и махнете отметката от "Enable BWM" (Включване на BWM) и щракнете върху "Apply" (Приложи):

В зависимост от обема на трафика в защитната стена трябва да видите леко увеличение на честотната лента. За нашата тестова среда няма голям трафик и следователно няма реално увеличение на пропускателната способност.

1.3 Функции на UTM (услуги за сигурност)

Ако искате по-голяма пропускателна способност, можете да пожертвате услугите за сигурност (функциите на UTM), за да получите по-голяма пропускателна способност. За IDP (IPS) това ще увеличи общата ви пропускателна способност, тъй като тя сканира целия входящ и изходящ трафик.

Отидете в Конфигурация -> Услуги за сигурност -> IPS

Махнете отметката от квадратчето и щракнете върху "Приложи":

Деактивирането на Anti-Malware ще увеличи скоростта на изтегляне, тъй като Anti-Malware сканира всички файлове, които изтегляте.

Отидете в Конфигурация -> Услуга за сигурност -> Anti-Malware

Махнете отметката от квадратчето и щракнете върху "Приложи":

Филтър за репутация и сигурност на електронната поща

Можете също така да деактивирате Филтъра за репутация (в менюто Отиди на Конфигурация -> Услуга за сигурност -> Филтър за репутация) и Защитата на имейли.

App Patrol и филтър за съдържание

Тъй като тези услуги за сигурност са прикрепени към правилата на защитната стена, няма "бутон за забрана". Трябва да влезете в менютата на услугите за сигурност и да се уверите, че няма препратки към тези услуги за сигурност:

Ако има препратки тук, това означава, че тя е прикрепена към правило за защитна стена. След това щракнете и изберете профила за сигурност и натиснете "Препратки":

Щракнете върху услугата за контрол на политиката за сигурност № 1:

Отидете на правилата на защитната стена, към които са прикрепени профилите, щракнете два пъти върху правилото, премахнете избора на профилите в долната част на прозореца, като щракнете върху "none", и след това щракнете върху ОК:

След като направите това, ще видите, че символът Application Patrol е изчезнал от профила на правилото за защитна стена:

Отстраняване на неизправности и увеличаване на пропускателната способност на VPN

В този раздел ще бъде показано как да подобрите производителността на вашия VPN тунел от сайт до сайт (серия USG FLEX / ATP / VPN), като използвате iPerf тестване, командата crypto-boost CLI и избягване на фрагментацията на MTU с по-малък размер на пакетите, както и настройка на MSS.

В тестовата среда се използваха 2x ATP200, свързани в тази топология:

Получаване на локален WAN адрес от защитната стена в офиса. Нито една от защитните стени не е имала трафик по време на провеждането на тестовете.

Забележка! Пропускателната способност в информационния лист използва стандартните за индустрията тестови измервания, които правят тестовите измервания с UDP пакети. TCP трафикът е по-взискателен към защитната стена, което означава, че за да получите по-реалистична VPN пропускателна способност, трябва да разгледате астерикс (*):
"*3: VPN пропускателна способност, измерена въз основа на RFC 2544 (1424-байтови UDP пакети)"

*Съветът, който използваме в организацията за поддръжка, е да разделите пропускателната способност на информационния лист на 3, за да получите реалистична пропускателна способност за вашата защитна стена

2.1 Тестване на iPerf чрез VPN

Изтеглете iPerf от тук: https://iperf.fr/iperf-download.php

Инсталирайте го или копирайте .exe файла във вашия CMD и изпълнете командата след.

Можете също така да следвате тази статия (за безжична връзка):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Нуждаете се от 2 персонални компютъра, свързани към локалната мрежа на всеки сайт, и те трябва да могат да се пингват един друг.

Деактивирайте защитната стена на Windows, ако компютърът не може да пингва. Единият компютър ще действа като "сървър", а другият ще действа като клиент. След това ще тествате скоростта (клиент) към този сървър, като следвате стъпките по-долу.

2.1.1 Стартирайте iPerf на сървърния компютър

2.1.1.1 Плъзнете файла iperf.exe към cmd

2.1.1.2 За сървъра добавете "-s" в командния ред

So run this command: 
%%Path%% -s

2.1.1.3 Натиснете Enter

Пример:

2.1.2 Изпълнение на iPerf на клиентски компютър

2.2.2.1 Плъзнете файла iperf.exe към cmd

2.2.2.2 Добавете "iperf -c -w4M -l 65535 -P 10

Изпълнете тази команда:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Натиснете Enter

Пример:

Отказ от отговорност! Тъй като това е тестова VPN среда през LAN мрежа, резултатите ще бъдат много сходни, ако не и същите.

2.2 Използване на по-ниско ниво на криптиране и удостоверяване

Това е резултатът от VPN връзка от сайт към сайт с IKEv2 (агресивен режим) AES128, SHA1 криптиране:

Това е резултатът от VPN връзка между сайтове с IKEv1 (агресивен режим) DES и MD5 криптиране:

Понякога нивото на криптиране и удостоверяване играе роля за скоростта на VPN. Например използването на AES256 е по-бавно от използването на 3DES, но при използването на 3DES има по-малка сигурност, отколкото при AES256.

2.3 Използване на командата Crypto-Boost

В ZLD5.10 направихме някои подобрения, за да увеличим пропускателната способност на IPSec TCP единична сесия
- Разпределяне на единичната VPN сесия на няколко процесора вместо на един процесор
- Пренареждане на реда на пакетите

Това подобрение е деактивирано по подразбиране.

Причината, поради която е деактивирано по подразбиране: Нуждаем се от повече време, за да изясним дали разпределянето на VPN сесиите между няколко ядра причинява някакви ефекти на други наши критични процеси или не. Ако това не е така, можем да го разрешим в следващата версия на FW.

Тъй като подобрението все още е в процес на оценка, все още не правим официални тестове.

Как да активирате/деактивирате подобрението:

За да разрешите подобрението чрез CLI команда, използвайте:

Router(config)# crypto boost-tcp

За да деактивирате подобрението чрез CLI команда, използвайте:

Router(config)#no crypto boost-tcp

Тук ще намерите как можете да направите локален тест за проверка:

Топология:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Софтуер за изпитване: Iperf3

Тестова операционна система клиент/сървър: Windows

Тук ще видите разликите в пропускателната способност на IPsec TCP единична сесия:

Изпълнението на командата crypto-boost с помощта на горните стъпки и резултатите след изпълнението на командата crypto-boost:

Router(config)# crypto boost-tcp

2.4 Проверка на фрагментацията на WAN

2.4.1 Използвайте уеб графичен интерфейс.

Отидете в Diagnostic -> Network Tool (Диагностика -> Мрежови инструменти) и изпратете ping на 8.8.8.8, като използвате правилния WAN интерфейс (в този случай wan). След това въведете опцията за разширение -M do -s 1500.

Първо пинг с размер на пакета 1500 (-M do -s 1500), а след това 1492. След това се спуснете надолу със стойност 10, докато не откриете пакета "(truncated)". След това се увеличете с 2, докато отново не получите фрагментиран пакет. Стойността преди това е най-подходящата точка. Когато имате орязан пакет, това означава, че пакетът не трябва да се фрагментира и следователно може да се изпрати с оптималния MTU.

В този пример по-горе сладкото място за нас е 1472, тъй като 1472 не е фрагментиран, а 1474 е.

2.4.2 Използване на CMD

Използвайте тази команда:

ping www.google.com -f -l 1500

Започнете с размер на пакета 1500 и го намалете до 1492, след което го намалете със стойност 10 (1482 -> 1472 -> 1462 и т.н.), докато вече нямате фрагментиран пакет и ping отговаря. След това увеличете стойността с 2, докато намерите "сладкото място", където пакетите вече не се фрагментират.

В този случай трябва да зададем стойност 1342 + 28 = 1370.

защото

MTU = MSS (1342 байта в този пример) + IP заглавие (20 байта) + ICMP заглавие (8 байта)

След регулиране на размера на MTU на WAN връзката:
2.5 Коригиране на MSS

В противен случай можете да се опитате да настроите ръчно настройката на MSS. Това е метод на проба и грешка, направете теста първо с 1400, а след това с 1300. Ако получите подобрение при задаване на потребителски размер на някое от тях, опитайте следното по-долу:

Пример 1: Получавате ли по-добра пропускателна способност, като използвате 1300? Опитайте с 1340, по-добре ли е от 1300? Използвайте 1340.
Пример 2: Получавате ли по-добра пропускателна способност, използвайки 1400? Опитайте с 1360. По-добра от 1400? Ако не, използвайте 1400

Можете също така да изчислите MSS, като използвате теста за пинг от стъпка 4: