Firewall - Erhöhung des Durchsatzes / Geschwindigkeitssteigerung für WAN und VPN

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Wenn es Fragen oder Unstimmigkeiten bezüglich der Genauigkeit der Informationen in der übersetzten Version gibt, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Artikel zeigt Ihnen, wie Sie mit der Web-GUI [USG FLEX/ATP/VPN-Serie] Ihre Geschwindigkeit erhöhen und Ihren Internet- und VPN-Durchsatz steigern können. Er zeigt, wie sich Verkehrsstatistiken, Bandbreitenmanagement und UTM-Funktionen auf den Durchsatz Ihres Geräts auswirken. Darüber hinaus wird gezeigt, wie Sie iPerf-Tests durch den VPN-Tunnel durchführen und wie Sie mit niedrigerer Verschlüsselung und Authentifizierung, mit dem Crypto-Boost-Befehl und der Fragmentierungs-/MSS-Anpassung den VPN-Durchsatz erhöhen.

Wenn Sie die Firmware-Version 5.10 haben, können Sie in diesem Artikel nachlesen, wie Sie Ihre Geschwindigkeit erhöhen oder auf die neueste Firmware aktualisieren können.

Inhaltsverzeichnis

1) Fehlersuche & Erhöhung des WAN-Durchsatzes

1.1 Verkehrsstatistik

1.2 Bandbreitenmanagement

1.3 UTM-Funktionen (Sicherheitsdienste)

2) Fehlersuche & Erhöhung des VPN-Durchsatzes

2.1 iPerf-Tests über VPN

2.2 Niedrigere Verschlüsselung & Authentifizierung verwenden

2.3 Verwendung des Befehls Crypto-Boost

2.4 Überprüfung der Fragmentierung im WAN

2.5 MSS-Anpassung

1) Fehlersuche & Erhöhung des WAN-Durchsatzes

1.1 Verkehrsstatistik

Gehen Sie zu Traffic Statistics und entfernen Sie die Option "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - denken Sie daran, auf "Apply" zu klicken, nachdem Sie das Häkchen bei jeder UTM-Funktion entfernt haben:

mceclip13.png

Gehen Sie dann zu Monitor -> Verkehrsstatistiken -> Verkehrsstatistiken und entfernen Sie auch dort das Häkchen bei "Statistiken sammeln":

mceclip15.png

Je nach Umfang des Datenverkehrs in der Firewall sollten Sie einen leichten Anstieg der Bandbreite feststellen. In unserer Testumgebung ist der Datenverkehr nicht sehr hoch, so dass sich der Durchsatz nicht wirklich erhöht.

1.2 Bandbreitenmanagement

Sie können auch das Bandbreitenmanagement deaktivieren, das die Bandbreite der Firewall schützt. Gehen Sie zu Konfiguration -> BWM und deaktivieren Sie das Kontrollkästchen "BWM aktivieren" und klicken Sie auf "Übernehmen":

mceclip16.png

Je nach Umfang des Datenverkehrs in der Firewall sollten Sie einen leichten Anstieg der Bandbreite feststellen. In unserer Testumgebung gibt es nicht viel Datenverkehr und daher keine wirkliche Erhöhung des Durchsatzes.


1.3 UTM-Funktionen (Sicherheitsdienste)

Wenn Sie mehr Durchsatz wünschen, können Sie die Sicherheitsdienste (UTM-Funktionen) opfern, um mehr Durchsatz zu erzielen. Bei IDP (IPS) erhöht dies den Gesamtdurchsatz, da der gesamte ein- und ausgehende Datenverkehr gescannt wird.

Gehen Sie zu Konfiguration -> Sicherheitsdienst -> IPS

Deaktivieren Sie das Kontrollkästchen und klicken Sie auf "Übernehmen":

mceclip19.png

Durch die Deaktivierung der Anti-Malware wird Ihre Download-Geschwindigkeit erhöht, da die Anti-Malware alle Dateien scannt, die Sie herunterladen.

Gehen Sie zu Konfiguration -> Sicherheitsdienst -> Anti-Malware

Deaktivieren Sie das Kontrollkästchen und klicken Sie auf "Übernehmen":

mceclip19.png

Reputationsfilter und E-Mail-Sicherheit

Sie können auch den Reputationsfilter (unter Konfiguration -> Sicherheitsdienst -> Reputationsfilter) und die E-Mail-Sicherheit deaktivieren.

App-Patrouille und Inhaltsfilter

Da diese Sicherheitsdienste mit den Firewall-Regeln verknüpft sind, gibt es keine "Deaktivierungsschaltfläche". Sie müssen die Menüs der Sicherheitsdienste aufrufen und sicherstellen, dass es keine Verweise auf diese Sicherheitsdienste gibt:

mceclip21.png

mceclip22.png

mceclip23.png

Wenn es hier Verweise gibt, bedeutet das, dass er mit einer Firewall-Regel verbunden ist. Klicken Sie dann auf das Sicherheitsprofil, wählen Sie es aus und klicken Sie auf "Verweise":

mceclip24.png

Klicken Sie auf den Sicherheitsrichtlinien-Kontrolldienst Nr. 1:

mceclip27.png

Gehen Sie zu den Firewall-Regeln, an die die Profile angehängt sind, doppelklicken Sie auf die Regel, deaktivieren Sie die Profile am unteren Rand des Fensters, indem Sie auf "none" klicken, und klicken Sie dann auf ok:

mceclip28.png

mceclip29.png

Auf diese Weise sehen Sie, dass das Anwendungspatrouillen-Symbol nicht mehr im Profil der Firewall-Regel enthalten ist:

mceclip33.png

2) Fehlersuche & Erhöhung des VPN-Durchsatzes

In diesem Abschnitt wird gezeigt, wie Sie die Leistung Ihres Site-to-Site-VPN-Tunnels (USG FLEX / ATP / VPN-Serie) mithilfe von iPerf-Tests, dem CLI-Befehl crypto-boost und der Vermeidung von MTU-Fragmentierung mit geringerer Paketgröße sowie der MSS-Anpassung verbessern können.

In der Testumgebung wurden 2x ATP200 in dieser Topologie verbunden:

mceclip0.png

Sie erhielten eine lokale WAN-Adresse von der Büro-Firewall. Keine der Firewalls war während der Tests mit Datenverkehr belastet.

Hinweis! Der im Datenblatt angegebene Durchsatz basiert auf branchenüblichen Testmessungen, die mit UDP-Paketen durchgeführt werden. TCP-Verkehr stellt höhere Anforderungen an die Firewall, was bedeutet, dass Sie für einen realistischeren VPN-Durchsatz die Asteriks (*) heranziehen müssen:
"*3: VPN-Durchsatz gemessen auf Basis von RFC 2544 (1.424-Byte-UDP-Pakete)"

*Ein Tipp, den wir in der Support-Organisation verwenden, ist, den im Datenblatt angegebenen Durchsatz durch 3 zu teilen, um einen realistischen Durchsatz für Ihre Firewall zu erhalten.

2.1 iPerf-Tests über VPN

Laden Sie iPerf hier herunter: https://iperf.fr/iperf-download.php

Installieren Sie es, oder kopieren Sie die .exe-Datei in Ihre CMD und führen Sie den Befehl danach aus.

Sie können auch diesem Artikel folgen (für drahtlose Verbindungen):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Sie brauchen 2 PCs, die mit dem LAN jedes Standorts verbunden sind, und sie sollten in der Lage sein, sich gegenseitig anzupingen.

mceclip1.png

Deaktivieren Sie die Windows-Firewall, wenn der PC nicht anpingbar ist. Ein PC wird als "Server" und der andere als Client fungieren. Dann testen Sie die Geschwindigkeit (Client) zu diesem Server, indem Sie die folgenden Schritte ausführen.


2.1.1 Starten Sie iPerf auf dem Server-PC

2.1.1.1 Ziehen Sie die Datei iperf.exe auf cmd

2.1.1.2 Für den Server fügen Sie "-s" in die Befehlszeile ein

So run this command: 
%%Path%% -s

2.1.1.3 Drücken Sie Enter

Beispiel:

mceclip2.png

2.1.2 iPerf auf dem Client-PC ausführen

2.2.2.1 Ziehen Sie die Datei iperf.exe auf cmd

2.2.2.2 Fügen Sie "iperf -c -w4M -l 65535 -P 10

Führen Sie also diesen Befehl aus:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Drücken Sie die Eingabetaste

Beispiel:

mceclip3.png

Haftungsausschluss! Da es sich um eine Test-VPN-Umgebung über ein LAN-Netzwerk handelt, werden die Ergebnisse sehr ähnlich, wenn nicht sogar gleich sein.

2.2 Verwendung einer niedrigeren Verschlüsselung und Authentifizierung

Dies ist das Ergebnis eines Site-to-Site-VPN mit IKEv2 (aggressiver Modus) AES128, SHA1-Verschlüsselung:

mceclip4.png

Dies ist das Ergebnis eines Site-to-Site-VPN mit IKEv1 (aggressiver Modus) DES- und MD5-Verschlüsselung:

mceclip5.png

Manchmal spielt der Grad der Verschlüsselung und Authentifizierung eine Rolle für die VPN-Geschwindigkeit. Beispielsweise ist die Verwendung von AES256 langsamer als die Verwendung von 3DES, allerdings ist die Sicherheit bei der Verwendung von 3DES geringer als bei AES256.

2.3 Verwendung des Befehls Crypto-Boost

In ZLD5.10 haben wir einige Verbesserungen vorgenommen, um den Durchsatz von IPSec-TCP-Sitzungen zu erhöhen
- Verteilen der einzelnen VPN-Sitzung auf mehrere CPUs anstelle einer einzigen CPU
- Neuordnung der Paketreihenfolge

Diese Verbesserung ist standardmäßig deaktiviert.

Der Grund, warum wir sie standardmäßig deaktivieren: Wir brauchen mehr Zeit, um zu klären, ob die Verteilung von VPN-Sitzungen auf mehrere Kerne Auswirkungen auf andere kritische Prozesse hat. Wenn nicht, werden wir sie in der nächsten FW-Version aktivieren.

Da sich die Verbesserung noch in der Testphase befindet, führen wir noch keine offiziellen Tests durch.

So aktivieren/deaktivieren Sie die Erweiterung:

Um die Erweiterung per CLI-Befehl zu aktivieren, verwenden Sie:

Router(config)# crypto boost-tcp

mceclip6.png

Um die Erweiterung mit dem CLI-Befehl zu deaktivieren, verwenden Sie:

Router(config)#no crypto boost-tcp

mceclip7.png

Hier finden Sie, wie Sie den lokalen Test zur Überprüfung durchführen können:

Topologie:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Prüfsoftware: Iperf3

Test Client/Server OS: Windows

Hier sehen Sie die Unterschiede im IPsec TCP Single Session Throughput:

mceclip8.png

Die Ausführung des crypto-boost-Befehls unter Verwendung der oben genannten Schritte und die Ergebnisse nach der Ausführung des crypto-boost-Befehls:

Router(config)# crypto boost-tcp

mceclip9.png

2.4 Überprüfung der Fragmentierung im WAN

2.4.1 Verwenden Sie die Web-GUI.

Navigieren Sie zu Diagnostic -> Network Tool und pingen Sie 8.8.8.8 unter Verwendung der richtigen WAN-Schnittstelle (in diesem Fall wan). Geben Sie dann die Erweiterungsoption -M do -s 1500 ein.

Führen Sie zunächst einen Ping mit einer Paketgröße von 1500 (-M do -s 1500), dann 1492 durch. Dann gehen Sie mit einem Wert von 10 nach unten, bis Sie das "(truncated)"-Paket finden. Dann gehen Sie um 2 hoch, bis Sie wieder ein fragmentiertes Paket haben. Der Wert davor ist der Sweet Spot. Wenn Sie ein abgeschnittenes Paket haben, bedeutet dies, dass das Paket nicht fragmentiert werden muss und daher mit der optimalen MTU gesendet werden kann.

mceclip0.png

Im obigen Beispiel ist der Sweet Spot für uns 1472, da 1472 nicht fragmentiert ist, 1474 aber schon.

2.4.2 CMD verwenden

Verwenden Sie diesen Befehl:

ping www.google.com -f -l 1500

Beginnen Sie mit einer Paketgröße von 1500 und gehen Sie runter auf 1492, dann verringern Sie den Wert um 10 (1482 -> 1472 -> 1462 usw.), bis Sie keine fragmentierten Pakete mehr haben und der Ping antwortet. Dann erhöhen Sie den Wert um 2, bis Sie den "Sweet Spot" gefunden haben, an dem die Pakete nicht mehr fragmentiert sind.

mceclip10.png

In diesem Fall sollten wir den Wert auf 1342 + 28 = 1370 setzen.

denn

MTU = MSS (1342 Bytes in diesem Beispiel) + IP-Header (20 Bytes) + ICMP-Header (8 Bytes)

mceclip11.png

Nach der Anpassung der MTU-Größe auf der WAN-Verbindung:
mceclip12.png


2.5 MSS-Anpassung

Andernfalls können Sie versuchen, die MSS-Einstellung manuell vorzunehmen. Dies ist eine Frage von Versuch und Irrtum, machen Sie den Test zuerst mit 1400, dann mit 1300. Wenn Sie bei der Einstellung einer benutzerdefinierten Größe eine Verbesserung erzielen, versuchen Sie die folgenden Schritte:

Beispiel 1: Erhalten Sie einen besseren Durchsatz mit 1300? Versuchen Sie 1340, besser als 1300? Verwenden Sie 1340.
Beispiel 2: Erreichen Sie einen besseren Durchsatz mit 1400? Versuchen Sie 1360. Besser als 1400? Wenn nicht, verwenden Sie 1400

Sie können die MSS auch mit dem Ping-Test aus Schritt 4 berechnen:

mceclip13.png

Wenn Sie mehr über die Berechnung der Paketgrößen für VPN wissen möchten, können Sie sich diesen Artikel ansehen, der einige der Inhalte dieses Artikels inspiriert hat:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
4 von 4 fanden dies hilfreich
Teilen