Cortafuegos - Aumento del rendimiento / incremento de la velocidad para WAN y VPN

Este artículo le mostrará cómo usted puede aumentar su velocidad y aumentar su rendimiento de Internet y el rendimiento de VPN utilizando la interfaz gráfica de usuario Web [USG FLEX / ATP / VPN Series]. Muestra cómo las estadísticas de tráfico, la gestión del ancho de banda y las funciones UTM afectan al rendimiento de su dispositivo. Además, muestra cómo realizar pruebas iPerf a través del túnel VPN, y el uso de encriptación y autenticación inferiores, utilizando el comando crypto-boost y comprobando el ajuste de fragmentación/MSS para aumentar el rendimiento de la VPN.

En primer lugar, si usted tiene la versión de firmware 5.10, puede mirar este artículo para aumentar su velocidad o actualizar a la última versión de firmware.

Solución de problemas y aumentar el rendimiento WAN

1.1 Estadísticas de tráfico

Vaya a Estadísticas de tráfico y elimine la opción "Recopilar estadísticas de todos los servicios UTM (App Patrol, Filtro de contenido, Anti-Malware, Filtro de reputación, IPS, Seguridad de correo electrónico, Inspección SSL) - recuerde pulsar "Aplicar" después de desmarcar la casilla en cada función UTM:

A continuación, vaya a Monitorizar -> Estadísticas de tráfico -> Estadísticas de tráfico y desmarque también la casilla "Recopilar estadísticas":

Dependiendo de la cantidad de tráfico en el cortafuegos, debería ver un ligero aumento en el ancho de banda. En nuestro entorno de prueba, no hay mucho tráfico y por lo tanto, no hay realmente un aumento en el rendimiento.

1.2 Gestión del ancho de banda

También puede desactivar la gestión del ancho de banda, que protege el ancho de banda del cortafuegos. Vaya a Configuración -> BWM y desmarque la opción "Habilitar BWM" y haga clic en "Aplicar":

Dependiendo de la cantidad de tráfico en el cortafuegos, debería ver un ligero aumento en el ancho de banda. En nuestro entorno de prueba, no hay mucho tráfico y por lo tanto, no hay realmente un aumento en el rendimiento.

1.3 Funciones UTM (Servicios de seguridad)

Si desea más rendimiento, puede sacrificar los servicios de seguridad (funciones UTM) para obtener más rendimiento. En el caso de IDP (IPS), esto aumentará el rendimiento general, ya que analiza todo el tráfico entrante y saliente.

Vaya a Configuración -> Servicio de Seguridad -> IPS

Desmarque la casilla y haga clic en "Aplicar":

Desactivando el Anti-Malware aumentará su velocidad de descarga ya que el Anti-malware está escaneando todos los archivos que descarga.

Vaya a Configuración -> Servicio de Seguridad -> Anti-Malware

Desmarque la casilla y haga clic en "Aplicar":

Filtro de reputación y seguridad del correo electrónico

También puede desactivar el Filtro de reputación (en Ir a Configuración -> Servicio de seguridad -> Filtro de reputación) y la Seguridad de correo electrónico.

App Patrol y Filtro de Contenido

Debido a que estos servicios de seguridad están adjuntos a las reglas del cortafuegos, no hay ningún "botón de desactivación". Debe ir a los menús de servicios de seguridad y asegurarse de que no hay referencias a estos servicios de seguridad:

Si hay referencias aquí, significa que está unido a una regla de firewall. A continuación, haga clic y seleccione en el perfil de seguridad y pulse "Referencias":

Haga clic en el Servicio de Control de Políticas de Seguridad nº 1:

Vaya a las reglas de firewall que tienen los Perfiles adjuntos, haga doble clic en la regla, deseleccione los Perfiles en la parte inferior de la ventana haciendo clic en "ninguno" y luego haga clic en ok:

Al hacer esto, verá que el símbolo de la Patrulla de Aplicaciones ha desaparecido del Perfil de la regla del cortafuegos:

Solución de problemas y aumento del rendimiento de la VPN

Esta sección mostrará cómo mejorar el rendimiento en su túnel VPN de sitio a sitio (USG FLEX / ATP / VPN Series), utilizando la prueba iPerf, el comando CLI crypto-boost, y evitando la fragmentación MTU con un tamaño de paquete más bajo, así como el ajuste MSS.

El entorno de prueba utilizó 2x ATP200 conectados en esta topología:

Obteniendo una dirección WAN local del cortafuegos de la oficina. Ninguno de los cortafuegos tenía tráfico mientras se realizaban las pruebas.

Nota. El rendimiento que aparece en la hoja de datos utiliza mediciones de prueba estándar del sector, que realizan las mediciones de prueba con paquetes UDP. El tráfico TCP es más exigente para el cortafuegos, lo que significa que para obtener un rendimiento de VPN más realista, hay que fijarse en los asteriscos (*):
"*3: Rendimiento de VPN medido en base a RFC 2544 (paquetes UDP de 1.424 bytes)"

*Un consejo que utilizamos en la organización de soporte es dividir el rendimiento de la hoja de datos por 3 para obtener un rendimiento realista para su cortafuegos.

2.1 Prueba iPerf a través de VPN

Descargue iPerf aquí: https://iperf.fr/iperf-download.php

Instálelo, o copie el archivo .exe en su CMD y ejecute el comando después.

También puede seguir este artículo (para conexión inalámbrica):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Necesitas 2 PCs conectados a la LAN de cada sitio y deberían poder hacer ping el uno al otro.

Desactiva el cortafuegos de Windows si el PC no puede hacer ping. Un PC actuará como "servidor" y el otro como cliente. Entonces usted está probando la velocidad (cliente) a ese servidor siguiendo los pasos a continuación.

2.1.1 Ejecutar iPerf en el PC servidor

2.1.1.1 Arrastre el archivo iperf.exe a cmd

2.1.1.2 Para el servidor, añada "-s" en la línea de comandos

So run this command: 
%%Path%% -s

2.1.1.3 Pulse Intro

Ejemplo:

2.1.2 Ejecutar iPerf en PC cliente

2.2.2.1 Arrastre el archivo iperf.exe a cmd

2.2.2.2 Añada "iperf -c -w4M -l 65535 -P 10

Entonces ejecuta este comando

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Pulse Intro

Ejemplo:

¡Atención! Dado que se trata de un entorno VPN de prueba a través de una red LAN, los resultados serán muy similares, si no iguales.

2.2 Uso de un cifrado y autenticación inferiores

Este es el resultado de una VPN de sitio a sitio con cifrado IKEv2 (modo agresivo) AES128, SHA1:

Este es el resultado de una VPN sitio a sitio con cifrado IKEv1 (modo agresivo) DES y MD5:

A veces, el nivel de cifrado y autenticación influye en la velocidad de la VPN. Por ejemplo, usar AES256 es más lento que usar 3DES, sin embargo, hay menos seguridad al usar 3DES que AES256.

2.3 Uso del comando Crypto-Boost

En ZLD5.10, hemos realizado algunas mejoras para aumentar el rendimiento de la sesión única IPSec TCP
- Distribuir la sesión VPN única a varias CPU en lugar de a una única CPU.
- Reordenar el orden de los paquetes

Esta mejora está desactivada por defecto.

La razón por la que la deshabilitamos por defecto: Necesitamos más tiempo para aclarar si la distribución de la sesión VPN sobre múltiples núcleos causa algún efecto a otros de nuestros procesos críticos en ejecución o no. Si no es así, es posible que la habilitemos en la próxima versión de FW.

Como la mejora está todavía en fase de evaluación, no hacemos pruebas oficiales todavía.

Cómo activar/desactivar la mejora:

Para activar la mejora mediante el comando CLI, utilice:

Router(config)# crypto boost-tcp

Para desactivar la mejora mediante el comando CLI, utilice:

Router(config)#no crypto boost-tcp

Aquí encontrará cómo puede hacer la prueba local para verificar:

Topología:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Software de prueba: Iperf3

SO cliente/servidor de prueba: Windows

Aquí podrá ver las diferencias de rendimiento de la sesión única IPsec TCP:

Ejecutando el comando crypto-boost siguiendo los pasos anteriores, los resultados después de ejecutar el comando crypto-boost:

Router(config)# crypto boost-tcp

2.4 Comprobar la fragmentación en la WAN

2.4.1 Utilice la GUI Web.

Vaya a Diagnóstico -> Herramienta de red y haga ping a 8.8.8.8 utilizando la interfaz WAN correcta (en este caso wan). A continuación, escriba la opción de extensión -M do -s 1500.

Primero haga ping con un tamaño de paquete de 1500 (-M do -s 1500), luego 1492. Luego baja con un valor de 10, hasta que encuentres el paquete "(truncado)". Luego sube con un valor de 2 hasta que vuelvas a tener un paquete fragmentado. El valor anterior es el punto dulce. Cuando tienes un paquete truncado significa que el paquete no necesita ser fragmentado y por lo tanto puede ser enviado con la MTU óptima.

En el ejemplo anterior, el punto óptimo para nosotros es 1472 ya que 1472 no está fragmentado pero 1474 sí.

2.4.2 Utilizar CMD

utilice este comando:

ping www.google.com -f -l 1500

Empieza con el tamaño de paquete 1500 y baja a 1492, luego disminuye en un valor de 10 (1482 -> 1472 -> 1462 etc.), hasta que ya no tengas un paquete fragmentado y el ping responda. Entonces incrementa el valor en 2 hasta que encuentres el "punto dulce" donde los paquetes ya no están fragmentados.

En este caso, deberíamos fijar el valor en 1342 + 28 = 1370.

porque

MTU = MSS (1342 bytes en este ejemplo) + cabecera IP (20 bytes) + cabecera ICMP (8 bytes)

Después de ajustar el tamaño de la MTU en la conexión WAN:
2,5 Ajuste de MSS

Si no, puede intentar ajustar manualmente el ajuste MSS. Esto es una prueba de ensayo y error, haga la prueba primero con 1400, luego 1300. Si obtiene una mejora al establecer un tamaño personalizado de cualquiera de estos, intente lo siguiente a continuación:

Ejemplo 1: ¿Obtiene mejor rendimiento usando 1300? Pruebe con 1340, ¿mejor que con 1300? Utilice 1340.
Segundo ejemplo: ¿Obtiene mejor rendimiento con 1400? Pruebe con 1360. ¿Mejor que 1400? Si no, utilice 1400

También puedes calcular el MSS utilizando la prueba de ping del paso 4: