Vigtig meddelelse: |
Denne artikel viser dig, hvordan du kan øge din hastighed og booste din internetgennemstrømning og VPN-gennemstrømning ved hjælp af Web GUI [USG FLEX/ATP/VPN Series]. Den viser, hvordan trafikstatistik, båndbreddestyring og UTM-funktioner påvirker din enheds gennemstrømning. Desuden viser den, hvordan man udfører iPerf-test gennem VPN-tunnelen og bruger lavere kryptering og autentificering, bruger crypto-boost-kommando og tjekker fragmentering/MSS-justering for at øge VPN-gennemstrømningen.
For det første, hvis du har firmwareversion 5.10, kan du se på denne artikel for at øge din hastighed eller opgradere til den nyeste firmware.
Indholdsfortegnelse
1) Fejlfinding og forøgelse af WAN-gennemstrømning
1.1 Trafikstatistik
1.2 Styring af båndbredde
1.3 UTM-funktioner (sikkerhedstjenester)
2) Fejlfinding og forøgelse af VPN-gennemstrømning
2.1 iPerf-test gennem VPN
2.2 Brug af lavere kryptering og autentificering
2.3 Brug af kommandoen Crypto-Boost
2.4 Tjek fragmentering på WAN
2.5 Justering af MSS
1) Fejlfinding og forøgelse af WAN-gennemstrømning
1.1 Trafikstatistik
Gå ind i Traffic Statistics og fjern "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - husk at trykke på "Apply" , når du har fjernet markeringen på hver UTM-funktion:
Gå derefter til Monitor -> Traffic Statistics -> Traffic Statistics, og fjern markeringen i boksen "Collect Statistics" der også:
Afhængigt af mængden af trafik i firewallen, bør du se en lille stigning i båndbredden. I vores testmiljø er der ikke meget trafik, og derfor er der ikke rigtig en stigning i gennemstrømningen.
1.2 Håndtering af båndbredde
Du kan også deaktivere Bandwidth Management, som beskytter firewallens båndbredde. Gå til Configuration -> BWM, fjern markeringen i "Enable BWM", og klik på "Apply":
Afhængigt af mængden af trafik i firewallen, bør du se en lille stigning i båndbredden. I vores testmiljø er der ikke meget trafik, og derfor er der ikke rigtig en stigning i gennemstrømningen.
1.3 UTM-funktioner (sikkerhedstjenester)
Hvis du vil have mere gennemstrømning, kan du ofre sikkerhedstjenesterne (UTM-funktionerne) for at få mere gennemstrømning. For IDP (IPS) vil dette øge din samlede gennemstrømning, fordi den scanner al indgående og udgående trafik.
Gå til Konfiguration -> Sikkerhedstjeneste -> IPS
Fjern markeringen i afkrydsningsfeltet, og klik på "Anvend":
Deaktivering af Anti-Malware vil øge din downloadhastighed, da Anti-Malware scanner alle de filer, du downloader.
Gå til Konfiguration -> Sikkerhedstjeneste -> Anti-Malware
Fjern markeringen i afkrydsningsfeltet, og klik på "Anvend":
Omdømmefilter og e-mailsikkerhed
Du kan også deaktivere Reputation Filter (under Go to Configuration -> Security Service -> Reputation Filter) og Email Security.
App-patrulje og indholdsfilter
Da disse sikkerhedstjenester er knyttet til firewallreglerne, er der ingen "deaktiveringsknap". Du skal gå ind i Security Service Menus og sørge for, at der ikke er nogen referencer til disse sikkerhedstjenester:
Hvis der er referencer her, betyder det, at den er knyttet til en firewallregel. Klik og vælg derefter sikkerhedsprofilen, og tryk på "Referencer":
Klik på Security Policy Control Service #1:
Gå til de firewallregler, der har profilerne tilknyttet, dobbeltklik på reglen, fravælg profilerne nederst i vinduet ved at klikke på "ingen" , og klik derefter på ok:
Ved at gøre det vil du nu se, at Application Patrol-symbolet er væk fra profilen på firewall-reglen:
2) Fejlfinding og forøgelse af VPN-gennemstrømning
Dette afsnit viser, hvordan du forbedrer ydeevnen i din site-to-site VPN-tunnel (USG FLEX / ATP / VPN Series) ved hjælp af iPerf-test, crypto-boost CLI-kommando og ved at undgå MTU-fragmentering med lavere pakkestørrelse samt MSS-justering.
Testmiljøet brugte 2x ATP200 forbundet i denne topologi:
Får en lokal WAN-adresse fra kontorets firewall. Ingen af firewallene havde trafik, mens testene blev udført.
Bemærk! Gennemstrømningen på databladet er baseret på testmålinger, der er industristandard, og som udføres med UDP-pakker. TCP-trafik er mere krævende for firewallen, hvilket betyder, at du skal se på asteriks (*) for at få en mere realistisk VPN-gennemstrømning:
"*3: VPN throughput målt baseret på RFC 2544 (1.424-byte UDP-pakker)"
*Et tip, som vi bruger i supportorganisationen, er at dividere databladets throughput med 3 for at få et realistisk throughput for din firewall.
2.1 iPerf-test gennem VPN
Download iPerf her: https://iperf.fr/iperf-download.php
Installer det, eller kopier .exe-filen til din CMD, og kør kommandoen bagefter.
Du kan også følge denne artikel (for trådløs forbindelse):
https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf
Du skal bruge 2 pc'er, der er forbundet til hver sit LAN, og de skal kunne pinge hinanden.
Deaktiver Windows firewall, hvis pc'en ikke kan pinge. Den ene pc vil fungere som "server", og den anden vil fungere som klient. Derefter tester du hastigheden (klient) til denne server ved at følge nedenstående trin.
2.1.1 Kør iPerf på server-pc'en
2.1.1.1 Træk filen iperf.exe til cmd
2.1.1.2 For serveren skal du tilføje "-s" i kommandolinjen
So run this command:
%%Path%% -s
2.1.1.3 Tryk på Enter
Eksempel:
2.1.2 Kør iPerf på klient-pc'en
2.2.2.1 Træk filen iperf.exe til cmd
2.2.2.2 Tilføj "iperf -c -w4M -l 65535 -P 10
Kør så denne kommando:
%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10
2.2.2.3 Tryk på Enter
Eksempel:
Ansvarsfraskrivelse! Da dette er et test-VPN-miljø gennem et LAN-netværk, vil resultaterne være meget ens, hvis ikke de samme.
2.2 Brug af lavere kryptering og autentificering
Dette er resultatet af en site-to-site VPN med IKEv2 (aggressiv tilstand) AES128, SHA1-kryptering:
Dette er resultatet af en site-to-site VPN med IKEv1 (aggressiv tilstand) DES & MD5-kryptering:
Nogle gange spiller krypterings- og autentificeringsniveauet en rolle for VPN-hastigheden. For eksempel er det langsommere at bruge AES256 end 3DES, men der er mindre sikkerhed ved at bruge 3DES end AES256.
2.3 Brug af kommandoen Crypto-Boost
I ZLD5.10 gjorde vi nogle forbedringer for at øge IPSec TCP single session throughput
- Distribuere den enkelte VPN-session til flere CPU'er i stedet for en enkelt CPU
- Omorganiser pakkerækkefølgen
Denne forbedring er deaktiveret som standard.
Grunden til, at vi deaktiverer som standard: Vi har brug for mere tid til at afklare, om fordelingen af VPN-sessioner over flere kerner påvirker andre af vores kritiske processer eller ej. Hvis ikke, kan vi aktivere det i den næste FW-version.
Da forbedringen stadig er under evaluering, laver vi ikke officielle tests endnu.
Sådan aktiverer/deaktiverer du forbedringen:
For at aktivere forbedringen med CLI-kommandoen skal du bruge:
Router(config)# crypto boost-tcp
For at deaktivere forbedringen med CLI-kommandoen skal du bruge:
dyn_repppp_3
Her kan du se, hvordan du kan lave en lokal test for at verificere:
Topologi:
PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2
Testsoftware: Iperf3
Test klient/server OS: Windows
Her kan du se forskellene på IPsec TCP single session throughput:
Kørsel af crypto-boost-kommandoen ved hjælp af ovenstående trin, resultaterne efter kørsel af crypto-boost-kommandoen:
Router(config)# crypto boost-tcp
2.4 Tjek fragmentering på WAN
2.4.1 Brug Web GUI.
Naviger til Diagnostic -> Network Tool og ping 8.8.8.8 ved hjælp af det korrekte WAN-interface (i dette tilfælde wan). Skriv derefter udvidelsesmuligheden -M do -s 1500.
Ping først med en pakkestørrelse på 1500 (-M do -s 1500), derefter 1492. Gå derefter ned med en værdi på 10, indtil du finder pakken "(truncated)". Så går du op med 2, indtil du har en fragmenteret pakke igen. Værdien før er sweet spot. Når du har en trunkeret pakke, betyder det, at pakken ikke behøver at blive fragmenteret og derfor kan sendes med den optimale MTU.
I eksemplet ovenfor er sweet spot for os 1472, da 1472 ikke er fragmenteret, men 1474 er.
2.4.2 Brug CMD
Brug denne kommando:
ping www.google.com -f -l 1500
Start med pakkestørrelse 1500 og gå ned til 1492, og reducer derefter med en værdi på 10 (1482 -> 1472 -> 1462 osv.), indtil du ikke længere har en fragmenteret pakke, og ping svarer. Derefter øger du værdien med 2, indtil du finder det "sweet spot", hvor pakkerne ikke længere er fragmenterede.
I dette tilfælde skal vi sætte værdien til 1342 + 28 = 1370.
fordi
MTU = MSS (1342 bytes i dette eksempel) + IP header (20 bytes) + ICMP header (8 bytes)
Efter justering af MTU-størrelsen på WAN-forbindelsen:
2.5 MSS-justering
Ellers kan du prøve at indstille MSS-justeringen manuelt. Dette er en prøve og fejl, gør testen først med 1400, derefter 1300. Hvis du får en forbedring ved at indstille en brugerdefineret størrelse på en af disse, kan du prøve følgende nedenfor:
Eksempel 1: Får du bedre gennemstrømning med 1300? Prøv 1340, bedre end 1300? Brug 1340.
Eksempel 2: Får du bedre gennemstrømning med 1400? Prøv 1360. Bedre end 1400? Hvis ikke, så brug 1400
Du kan også beregne MSS ved hjælp af ping-testen fra trin 4:
Hvis du er yderligere interesseret og vil vide mere om, hvordan man beregner pakkestørrelser for VPN, kan du tage et kig på denne artikel, som har inspireret til noget af indholdet i denne artikel:
https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings
Kommentarer
0 kommentarerLog ind for at kommentere.