Tento článek vám ukáže, jak můžete zvýšit rychlost a zvýšit propustnost internetu a VPN pomocí webového grafického rozhraní [USG FLEX/ATP/VPN Series]. Ukazuje, jak statistiky provozu, správa šířky pásma a funkce UTM ovlivňují propustnost vašeho zařízení. Dále ukazuje, jak provádět testování iPerf prostřednictvím tunelu VPN a jak používat nižší enkrypci a ověřování, používat příkaz crypto-boost a kontrolovat fragmentaci/úpravu MSS pro zvýšení propustnosti VPN.

Za prvé, pokud máte firmware verze 5.10, můžete se podívat na tento článek, jak zvýšit rychlost, nebo přejít na nejnovější firmware.

Tabulka obsahu

1) Řešení problémů a zvýšení propustnosti sítě WAN

1.1 Statistika provozu

1.2 Správa šířky pásma

1.3 Funkce UTM (bezpečnostní služby)

2) Řešení problémů a zvýšení propustnosti VPN

2.1 Testování iPerf prostřednictvím sítě VPN

2.2 Použití nižšího šifrování a ověřování

2.3 Použití příkazu Crypto-Boost

2.4 Kontrola fragmentace v síti WAN

2.5 Nastavení MSS

1) Řešení problémů a zvýšení propustnosti sítě WAN

1.1 Statistika provozu

Přejděte do sekce Traffic Statistics (Statistiky provozu) a odstraňte položku "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection)" - po zrušení zaškrtnutí políčka u každé funkce UTM nezapomeňte stisknout tlačítko "Apply" (Použít ):

Poté přejděte do nabídky Monitor -> Traffic Statistics -> Traffic Statistics a zrušte zaškrtnutí políčka "Collect Statistics":

V závislosti na množství provozu ve firewallu byste měli vidět mírné zvýšení šířky pásma. V našem testovacím prostředí není provoz příliš velký, a proto ke zvýšení propustnosti skutečně nedošlo.

1.2 Správa šířky pásma

Můžete také vypnout správu šířky pásma, která chrání šířku pásma brány firewall. Přejděte do nabídky Konfigurace -> BWM a zrušte zaškrtnutí políčka "Povolit BWM" a klikněte na tlačítko "Použít":

V závislosti na množství provozu v bráně firewall byste měli zaznamenat mírné zvýšení šířky pásma. V našem testovacím prostředí není provoz příliš velký, a tak ke zvýšení propustnosti skutečně nedošlo.

1.3 Funkce UTM (bezpečnostní služby)

Pokud chcete vyšší propustnost, můžete obětovat služby zabezpečení (funkce UTM), abyste získali vyšší propustnost. V případě IDP (IPS) se tím zvýší celková propustnost, protože skenuje veškerý příchozí a odchozí provoz.

Přejděte do části Konfigurace -> Bezpečnostní služba -> IPS.

Zrušte zaškrtnutí políčka a klikněte na tlačítko "Použít":

Vypnutím Anti-Malware se zvýší rychlost stahování, protože Anti-Malware kontroluje všechny stahované soubory.

Přejděte do Konfigurace -> Bezpečnostní služba -> Anti-Malware

Zrušte zaškrtnutí políčka a klikněte na tlačítko "Použít":

Filtr reputace a zabezpečení e-mailu

Můžete také vypnout filtr reputace (v části Konfigurace -> Bezpečnostní služba -> Filtr reputace) a zabezpečení e-mailu.

Hlídání aplikací a filtr obsahu

Protože jsou tyto bezpečnostní služby připojeny k pravidlům brány firewall, není k dispozici žádné tlačítko "zakázat". Je třeba přejít do nabídky bezpečnostních služeb a ujistit se, že na tyto bezpečnostní služby nejsou žádné odkazy:

Pokud zde odkazy jsou, znamená to, že jsou připojeny k pravidlu brány firewall. Pak klikněte a vyberte na bezpečnostní profil a stiskněte tlačítko "Reference":

Klikněte na položku Služba řízení zásad zabezpečení č. 1:

Přejděte na pravidla brány firewall, ke kterým jsou připojeny profily, dvakrát klikněte na pravidlo, zrušte výběr profilů v dolní části okna kliknutím na "žádné" a poté klikněte na tlačítko ok:

Tímto postupem nyní zjistíte, že symbol aplikační hlídky z profilu v pravidle brány firewall zmizel:

2) Řešení problémů a zvýšení propustnosti VPN

V této části se dozvíte, jak zvýšit výkon tunelu VPN mezi lokalitami (USG FLEX / ATP / VPN Series) pomocí testování iPerf, příkazu crypto-boost CLI a zamezení fragmentace MTU pomocí nižší velikosti paketů a nastavení MSS.

Testovací prostředí používalo 2x ATP200 připojené v této topologii:

Získání místní adresy WAN z firewallu v kanceláři. Během provádění testů nebyl na žádném z firewallů provoz.

Poznámka! Propustnost v datovém listu je uvedena pomocí standardních testovacích měření, která provádějí testovací měření s pakety UDP. Provoz TCP je na firewall náročnější, což znamená, že pro získání reálnější propustnosti VPN je třeba se podívat na asteriks (*):
"*3: Propustnost VPN měřená na základě RFC 2544 (1 424bajtové pakety UDP)".

*Tip, který používáme v organizaci podpory, je vydělit datovou propustnost datového listu číslem 3, abyste získali realistickou propustnost pro váš firewall.

2.1 Testování iPerf prostřednictvím sítě VPN

Aplikaci iPerf si stáhněte zde: https://iperf.fr/iperf-download.php

Nainstalujte jej nebo zkopírujte soubor .exe do CMD a poté spusťte příkaz.

Můžete také postupovat podle tohoto článku (pro bezdrátové připojení):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf.

Potřebujete 2 počítače připojené k síti LAN každé lokality, které by měly být schopny vzájemně si pingovat.

Pokud počítač není pingovatelný, vypněte bránu firewall systému Windows. Jeden počítač bude fungovat jako "server" a druhý jako klient. Pak budete testovat rychlost (klienta) k tomuto serveru podle níže uvedených kroků.

2.1.1 Spusťte aplikaci iPerf na serverovém počítači

2.1.1.1 Přetáhněte soubor iperf.exe do cmd

2.1.1.2 Pro server přidejte do příkazového řádku "-s".

2.1.1.3 Stiskněte klávesu Enter

Příklad:

2.1.2 Spustit iPerf na klientském počítači

2.2.2.1 Přetáhněte soubor iperf.exe do cmd

2.2.2.2 Přidejte "iperf -c -w4M -l 65535 -P 10

Spusťte tento příkaz:

2.2.2.3 Stiskněte klávesu Enter

Příklad:

Odmítnutí odpovědnosti! Protože se jedná o testovací prostředí VPN prostřednictvím sítě LAN, budou výsledky velmi podobné, ne-li stejné.

2.2 Použití nižšího šifrování a ověřování

Toto je výsledek sítě VPN mezi lokalitami se šifrováním IKEv2 (agresivní režim) AES128, SHA1:

Toto je výsledek sítě VPN mezi lokalitami se šifrováním IKEv1 (agresivní režim) DES a MD5:

Někdy hraje úroveň šifrování a ověřování roli v rychlosti sítě VPN. Například použití AES256 je pomalejší než použití 3DES, nicméně při použití 3DES je nižší zabezpečení než při použití AES256.

2.3 Použití příkazu Crypto-Boost

V ZLD5.10 jsme provedli několik vylepšení pro zvýšení propustnosti jedné relace IPSec TCP
- Rozdělení jedné relace VPN na více procesorů namísto jednoho procesoru.
- Změna pořadí paketů

Toto vylepšení je ve výchozím nastavení vypnuto.

Důvod, proč je ve výchozím nastavení zakázáno: Potřebujeme více času, abychom si ujasnili, zda rozdělení relací VPN na více jader způsobuje nějaké dopady na ostatní naše kritické procesy, které běží, nebo ne. Pokud ne, můžeme jej povolit v příští verzi FW.

Vzhledem k tomu, že toto vylepšení je stále ve fázi vyhodnocování, zatím neprovádíme oficiální testování.

Jak vylepšení povolit/zakázat:

Chcete-li vylepšení povolit pomocí příkazu CLI, použijte následující příkaz:

Chcete-li vylepšení zakázat příkazem CLI, použijte:

Router(config)#no crypto boost-tcp

Zde najdete, jak můžete provést místní test pro ověření:

Topologie:

(LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Testovací software: Iperf3

Testovací klientský/serverový operační systém: Windows

Zde uvidíte rozdíly v propustnosti jednotlivých relací protokolu IPsec TCP:

Spuštění příkazu crypto-boost pomocí výše uvedených kroků, výsledky po spuštění příkazu crypto-boost:

2.4 Kontrola fragmentace v síti WAN

2.4.1 Použijte webové grafické rozhraní.

Přejděte na Diagnostic -> Network Tool (Diagnostický nástroj -> Síťový nástroj) a proveďte ping na adresu 8.8.8.8 pomocí správného rozhraní WAN (v tomto případě wan). Poté zadejte rozšiřující volbu -M do -s 1500.

Nejprve pingněte s velikostí paketu 1500 (-M do -s 1500), poté 1492. Pak pokračujte směrem dolů s hodnotou 10, dokud nenajdete paket "(truncated)". Pak postupujte nahoru o 2, dokud opět nenajdete fragmentovaný paket. Předchozí hodnota je "sweet spot". Když máte zkrácený paket, znamená to, že paket nemusí být fragmentován, a proto může být odeslán s optimální MTU.

V tomto příkladu výše je pro nás sweet spot 1472, protože 1472 není fragmentovaný, ale 1474 ano.

2.4.2 Použití CMD

použijte tento příkaz:

Začněte s velikostí paketu 1500 a snižte ji na 1492, poté snižujte o hodnotu 10 (1482 -> 1472 -> 1462 atd.), dokud již nebudete mít fragmentovaný paket a ping bude reagovat. Poté zvyšujte hodnotu o 2, dokud nenajdete "sweet spot", kdy už pakety nejsou fragmentované.

V tomto případě bychom měli nastavit hodnotu 1342 + 28 = 1370.

Protože

MTU = MSS (v tomto příkladu 1342 bajtů) + hlavička IP (20 bajtů) + hlavička ICMP (8 bajtů).

Po nastavení velikosti MTU na připojení WAN:

2.5 Úprava MSS

V opačném případě se můžete pokusit o ruční nastavení MSS. Jedná se o metodu pokus-omyl, nejprve proveďte test s hodnotou 1400, poté 1300. Pokud dojde ke zlepšení při nastavení vlastní velikosti některého z nich, zkuste následující postup:

Příklad 1: Dosáhnete lepší propustnosti při použití hodnoty 1300? Zkuste 1340, je to lepší než 1300? Použijte 1340.
Příklad 2: Dosáhnete lepší propustnosti při použití 1400? Zkuste 1360. Lepší než 1400? Pokud ne, použijte 1400

MSS můžete také vypočítat pomocí testu ping z kroku 4:

Pokud vás zajímá více a chcete se dozvědět více o tom, jak vypočítat velikost paketů pro VPN, můžete se podívat na tento článek, který inspiroval část obsahu tohoto článku:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings.