Wichtiger Hinweis: |
Dieser Artikel zeigt Ihnen, wie Sie mit der Web-GUI [USG FLEX/ATP/VPN-Serie] Ihre Geschwindigkeit erhöhen und Ihren Internet- und VPN-Durchsatz steigern können. Er zeigt, wie sich Verkehrsstatistiken, Bandbreitenmanagement und UTM-Funktionen auf den Durchsatz Ihres Geräts auswirken. Darüber hinaus wird gezeigt, wie Sie iPerf-Tests durch den VPN-Tunnel durchführen und wie Sie mit niedrigerer Verschlüsselung und Authentifizierung, mit dem Crypto-Boost-Befehl und der Fragmentierungs-/MSS-Anpassung den VPN-Durchsatz erhöhen.
Wenn Sie die Firmware-Version 5.10 haben, können Sie in diesem Artikel nachlesen, wie Sie Ihre Geschwindigkeit erhöhen oder auf die neueste Firmware aktualisieren können.
Inhaltsverzeichnis
1) Fehlersuche & Erhöhung des WAN-Durchsatzes
1.1 Verkehrsstatistik
1.2 Bandbreitenmanagement
1.3 UTM-Funktionen (Sicherheitsdienste)
2) Fehlersuche & Erhöhung des VPN-Durchsatzes
2.1 iPerf-Tests über VPN
2.2 Niedrigere Verschlüsselung & Authentifizierung verwenden
2.3 Verwendung des Befehls Crypto-Boost
2.4 Überprüfung der Fragmentierung im WAN
2.5 MSS-Anpassung
1) Fehlersuche & Erhöhung des WAN-Durchsatzes
1.1 Verkehrsstatistik
Gehen Sie zu Traffic Statistics und entfernen Sie die Option "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - denken Sie daran, auf "Apply" zu klicken, nachdem Sie das Häkchen bei jeder UTM-Funktion entfernt haben:
Gehen Sie dann zu Monitor -> Verkehrsstatistiken -> Verkehrsstatistiken und entfernen Sie auch dort das Häkchen bei "Statistiken sammeln":
Je nach Umfang des Datenverkehrs in der Firewall sollten Sie einen leichten Anstieg der Bandbreite feststellen. In unserer Testumgebung ist der Datenverkehr nicht sehr hoch, so dass sich der Durchsatz nicht wirklich erhöht.
1.2 Bandbreitenmanagement
Sie können auch das Bandbreitenmanagement deaktivieren, das die Bandbreite der Firewall schützt. Gehen Sie zu Konfiguration -> BWM und deaktivieren Sie das Kontrollkästchen "BWM aktivieren" und klicken Sie auf "Übernehmen":
Je nach Umfang des Datenverkehrs in der Firewall sollten Sie einen leichten Anstieg der Bandbreite feststellen. In unserer Testumgebung gibt es nicht viel Datenverkehr und daher keine wirkliche Erhöhung des Durchsatzes.
1.3 UTM-Funktionen (Sicherheitsdienste)
Wenn Sie mehr Durchsatz wünschen, können Sie die Sicherheitsdienste (UTM-Funktionen) opfern, um mehr Durchsatz zu erzielen. Bei IDP (IPS) erhöht dies den Gesamtdurchsatz, da der gesamte ein- und ausgehende Datenverkehr gescannt wird.
Gehen Sie zu Konfiguration -> Sicherheitsdienst -> IPS
Deaktivieren Sie das Kontrollkästchen und klicken Sie auf "Übernehmen":
Durch die Deaktivierung der Anti-Malware wird Ihre Download-Geschwindigkeit erhöht, da die Anti-Malware alle Dateien scannt, die Sie herunterladen.
Gehen Sie zu Konfiguration -> Sicherheitsdienst -> Anti-Malware
Deaktivieren Sie das Kontrollkästchen und klicken Sie auf "Übernehmen":
Reputationsfilter und E-Mail-Sicherheit
Sie können auch den Reputationsfilter (unter Konfiguration -> Sicherheitsdienst -> Reputationsfilter) und die E-Mail-Sicherheit deaktivieren.
App-Patrouille und Inhaltsfilter
Da diese Sicherheitsdienste mit den Firewall-Regeln verknüpft sind, gibt es keine "Deaktivierungsschaltfläche". Sie müssen die Menüs der Sicherheitsdienste aufrufen und sicherstellen, dass es keine Verweise auf diese Sicherheitsdienste gibt:
Wenn es hier Verweise gibt, bedeutet das, dass er mit einer Firewall-Regel verbunden ist. Klicken Sie dann auf das Sicherheitsprofil, wählen Sie es aus und klicken Sie auf "Verweise":
Klicken Sie auf den Sicherheitsrichtlinien-Kontrolldienst Nr. 1:
Gehen Sie zu den Firewall-Regeln, an die die Profile angehängt sind, doppelklicken Sie auf die Regel, deaktivieren Sie die Profile am unteren Rand des Fensters, indem Sie auf "none" klicken, und klicken Sie dann auf ok:
Auf diese Weise sehen Sie, dass das Anwendungspatrouillen-Symbol nicht mehr im Profil der Firewall-Regel enthalten ist:
2) Fehlersuche & Erhöhung des VPN-Durchsatzes
In diesem Abschnitt wird gezeigt, wie Sie die Leistung Ihres Site-to-Site-VPN-Tunnels (USG FLEX / ATP / VPN-Serie) mithilfe von iPerf-Tests, dem CLI-Befehl crypto-boost und der Vermeidung von MTU-Fragmentierung mit geringerer Paketgröße sowie der MSS-Anpassung verbessern können.
In der Testumgebung wurden 2x ATP200 in dieser Topologie verbunden:
Sie erhielten eine lokale WAN-Adresse von der Büro-Firewall. Keine der Firewalls war während der Tests mit Datenverkehr belastet.
Hinweis! Der im Datenblatt angegebene Durchsatz basiert auf branchenüblichen Testmessungen, die mit UDP-Paketen durchgeführt werden. TCP-Verkehr stellt höhere Anforderungen an die Firewall, was bedeutet, dass Sie für einen realistischeren VPN-Durchsatz die Asteriks (*) heranziehen müssen:
"*3: VPN-Durchsatz gemessen auf Basis von RFC 2544 (1.424-Byte-UDP-Pakete)"
*Ein Tipp, den wir in der Support-Organisation verwenden, ist, den im Datenblatt angegebenen Durchsatz durch 3 zu teilen, um einen realistischen Durchsatz für Ihre Firewall zu erhalten.
2.1 iPerf-Tests über VPN
Laden Sie iPerf hier herunter: https://iperf.fr/iperf-download.php
Installieren Sie es, oder kopieren Sie die .exe-Datei in Ihre CMD und führen Sie den Befehl danach aus.
Sie können auch diesem Artikel folgen (für drahtlose Verbindungen):
https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf
Sie brauchen 2 PCs, die mit dem LAN jedes Standorts verbunden sind, und sie sollten in der Lage sein, sich gegenseitig anzupingen.
Deaktivieren Sie die Windows-Firewall, wenn der PC nicht anpingbar ist. Ein PC wird als "Server" und der andere als Client fungieren. Dann testen Sie die Geschwindigkeit (Client) zu diesem Server, indem Sie die folgenden Schritte ausführen.
2.1.1 Starten Sie iPerf auf dem Server-PC
2.1.1.1 Ziehen Sie die Datei iperf.exe auf cmd
2.1.1.2 Für den Server fügen Sie "-s" in die Befehlszeile ein
So run this command:
%%Path%% -s
2.1.1.3 Drücken Sie Enter
Beispiel:
2.1.2 iPerf auf dem Client-PC ausführen
2.2.2.1 Ziehen Sie die Datei iperf.exe auf cmd
2.2.2.2 Fügen Sie "iperf -c -w4M -l 65535 -P 10
Führen Sie also diesen Befehl aus:
%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10
2.2.2.3 Drücken Sie die Eingabetaste
Beispiel:
Haftungsausschluss! Da es sich um eine Test-VPN-Umgebung über ein LAN-Netzwerk handelt, werden die Ergebnisse sehr ähnlich, wenn nicht sogar gleich sein.
2.2 Verwendung einer niedrigeren Verschlüsselung und Authentifizierung
Dies ist das Ergebnis eines Site-to-Site-VPN mit IKEv2 (aggressiver Modus) AES128, SHA1-Verschlüsselung:
Dies ist das Ergebnis eines Site-to-Site-VPN mit IKEv1 (aggressiver Modus) DES- und MD5-Verschlüsselung:
Manchmal spielt der Grad der Verschlüsselung und Authentifizierung eine Rolle für die VPN-Geschwindigkeit. Beispielsweise ist die Verwendung von AES256 langsamer als die Verwendung von 3DES, allerdings ist die Sicherheit bei der Verwendung von 3DES geringer als bei AES256.
2.3 Verwendung des Befehls Crypto-Boost
In ZLD5.10 haben wir einige Verbesserungen vorgenommen, um den Durchsatz von IPSec-TCP-Sitzungen zu erhöhen
- Verteilen der einzelnen VPN-Sitzung auf mehrere CPUs anstelle einer einzigen CPU
- Neuordnung der Paketreihenfolge
Diese Verbesserung ist standardmäßig deaktiviert.
Der Grund, warum wir sie standardmäßig deaktivieren: Wir brauchen mehr Zeit, um zu klären, ob die Verteilung von VPN-Sitzungen auf mehrere Kerne Auswirkungen auf andere kritische Prozesse hat. Wenn nicht, werden wir sie in der nächsten FW-Version aktivieren.
Da sich die Verbesserung noch in der Testphase befindet, führen wir noch keine offiziellen Tests durch.
So aktivieren/deaktivieren Sie die Erweiterung:
Um die Erweiterung per CLI-Befehl zu aktivieren, verwenden Sie:
Router(config)# crypto boost-tcp
Um die Erweiterung mit dem CLI-Befehl zu deaktivieren, verwenden Sie:
Router(config)#no crypto boost-tcp
Hier finden Sie, wie Sie den lokalen Test zur Überprüfung durchführen können:
Topologie:
PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2
Prüfsoftware: Iperf3
Test Client/Server OS: Windows
Hier sehen Sie die Unterschiede im IPsec TCP Single Session Throughput:
Die Ausführung des crypto-boost-Befehls unter Verwendung der oben genannten Schritte und die Ergebnisse nach der Ausführung des crypto-boost-Befehls:
Router(config)# crypto boost-tcp
2.4 Überprüfung der Fragmentierung im WAN
2.4.1 Verwenden Sie die Web-GUI.
Navigieren Sie zu Diagnostic -> Network Tool und pingen Sie 8.8.8.8 unter Verwendung der richtigen WAN-Schnittstelle (in diesem Fall wan). Geben Sie dann die Erweiterungsoption -M do -s 1500 ein.
Führen Sie zunächst einen Ping mit einer Paketgröße von 1500 (-M do -s 1500), dann 1492 durch. Dann gehen Sie mit einem Wert von 10 nach unten, bis Sie das "(truncated)"-Paket finden. Dann gehen Sie um 2 hoch, bis Sie wieder ein fragmentiertes Paket haben. Der Wert davor ist der Sweet Spot. Wenn Sie ein abgeschnittenes Paket haben, bedeutet dies, dass das Paket nicht fragmentiert werden muss und daher mit der optimalen MTU gesendet werden kann.
Im obigen Beispiel ist der Sweet Spot für uns 1472, da 1472 nicht fragmentiert ist, 1474 aber schon.
2.4.2 CMD verwenden
Verwenden Sie diesen Befehl:
ping www.google.com -f -l 1500
Beginnen Sie mit einer Paketgröße von 1500 und gehen Sie runter auf 1492, dann verringern Sie den Wert um 10 (1482 -> 1472 -> 1462 usw.), bis Sie keine fragmentierten Pakete mehr haben und der Ping antwortet. Dann erhöhen Sie den Wert um 2, bis Sie den "Sweet Spot" gefunden haben, an dem die Pakete nicht mehr fragmentiert sind.
In diesem Fall sollten wir den Wert auf 1342 + 28 = 1370 setzen.
denn
MTU = MSS (1342 Bytes in diesem Beispiel) + IP-Header (20 Bytes) + ICMP-Header (8 Bytes)
Nach der Anpassung der MTU-Größe auf der WAN-Verbindung:
2.5 MSS-Anpassung
Andernfalls können Sie versuchen, die MSS-Einstellung manuell vorzunehmen. Dies ist eine Frage von Versuch und Irrtum, machen Sie den Test zuerst mit 1400, dann mit 1300. Wenn Sie bei der Einstellung einer benutzerdefinierten Größe eine Verbesserung erzielen, versuchen Sie die folgenden Schritte:
Beispiel 1: Erhalten Sie einen besseren Durchsatz mit 1300? Versuchen Sie 1340, besser als 1300? Verwenden Sie 1340.
Beispiel 2: Erreichen Sie einen besseren Durchsatz mit 1400? Versuchen Sie 1360. Besser als 1400? Wenn nicht, verwenden Sie 1400
Sie können die MSS auch mit dem Ping-Test aus Schritt 4 berechnen:
Wenn Sie mehr über die Berechnung der Paketgrößen für VPN wissen möchten, können Sie sich diesen Artikel ansehen, der einige der Inhalte dieses Artikels inspiriert hat:
https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings