Tässä artikkelissa näytetään, miten voit lisätä nopeutta ja parantaa internetin ja VPN:n läpimenoa Web GUI:n avulla [USG FLEX/ATP/VPN Series]. Siinä näytetään, miten liikennetilastot, kaistanleveyden hallinta ja UTM-toiminnot vaikuttavat laitteesi läpäisykykyyn. Lisäksi siinä näytetään, miten VPN-tunnelin kautta tehdään iPerf-testiä ja miten VPN-läpimenon lisäämiseksi käytetään alempaa salausta ja todennusta, käytetään crypto-boost-komentoa ja tarkistetaan pirstaloituminen/MSS-säätö.

Ensinnäkin, jos sinulla on firmware-versio 5.10, voit katsoa tätä artikkelia nopeuden lisäämiseksi tai päivittää uusimpaan firmwareen.

Sisällysluettelo

1) Vianmääritys ja WAN-läpimenon lisääminen

1.1 Liikennetilastot

1.2 Kaistanleveyden hallinta

1.3 UTM-toiminnot (turvallisuuspalvelut)

2) Vianmääritys ja VPN:n läpäisykyvyn lisääminen

2.1 iPerf-testaus VPN:n kautta

2.2 Alemman salauksen ja todennuksen käyttäminen

2.3 Crypto-Boost-komennon käyttö

2.4 Tarkista pirstaloituminen WANissa

2.5 MSS-säätö

1) Vianmääritys ja WAN-läpimenon lisääminen

1.1 Liikennetilastot

Siirry Traffic Statistics (Liikennetilastot) -kohtaan ja poista "Kerää tilastoja kaikista UTM-palveluista (App Patrol, Content Filter (Sisältösuodatin), Anti-Malware (Haittaohjelmien torjunta), Reputation Filter (Maine-suodatin), IPS, Email Security (Sähköpostisuojaus), SSL Inspection (SSL-tarkastus)) - muista painaa "Apply" (Käytä) , kun olet poistanut valintaruudun jokaisesta UTM-toiminnosta:

Siirry sitten Monitor -> Traffic Statistics -> Traffic Statistics ja poista sielläkin "Collect Statistics" -ruutu:

Riippuen palomuurissa olevan liikenteen määrästä, kaistanleveyden pitäisi kasvaa hieman. Meidän testiympäristössämme liikennettä ei ole paljon, joten läpimenoaika ei juuri lisäänny.

1.2 Kaistanleveyden hallinta

Voit myös poistaa kaistanleveyden hallinnan käytöstä, joka suojaa palomuurin kaistanleveyttä. Siirry kohtaan Configuration -> BWM ja poista rasti "Enable BWM" (Ota BWM käyttöön) ja napsauta "Apply" (Käytä):

Palomuurin liikennemäärästä riippuen kaistanleveyden pitäisi kasvaa hieman. Meidän testiympäristössämme ei ole paljon liikennettä, joten läpäisykyky ei juuri kasva.

1.3 UTM-toiminnot (tietoturvapalvelut)

Jos haluat lisää läpäisykykyä, voit uhrata turvallisuuspalvelut (UTM-toiminnot) saadaksesi lisää läpäisykykyä. IDP:n (IPS) osalta tämä lisää kokonaisläpäisykykyä, koska se skannaa kaiken saapuvan ja lähtevän liikenteen.

Siirry kohtaan Configuration (Määritykset) -> Security Service (Turvapalvelu) -> IPS.

Poista valintaruutu ja napsauta "Apply":

Anti-Malware -toiminnon poistaminen käytöstä lisää latausnopeutta, koska Anti-Malware skannaa kaikki lataamasi tiedostot.

Siirry kohtaan Configuration (Määritykset) -> Security Service (Turvapalvelu) -> Anti-Malware (Haittaohjelmien torjunta).

Poista valintaruutu ja napsauta "Apply" (Käytä):

Maineensuodatin ja sähköpostin suojaus

Voit myös poistaa maineen suodattimen (kohdassa Mene kohtaan Configuration -> Security Service -> Reputation Filter) ja sähköpostin suojauksen käytöstä.

App Patrol & Content Filter

Koska nämä turvallisuuspalvelut on liitetty palomuurisääntöihin, niissä ei ole "poista käytöstä -painiketta". Sinun on mentävä Turvapalveluvalikoimiin ja varmistettava, ettei näihin turvapalveluihin ole viittauksia:

Jos täällä on viittauksia, se tarkoittaa, että se on liitetty palomuurisääntöön. Napsauta ja valitse sitten turvallisuusprofiili ja paina "Viitteet":

Napsauta Security Policy Control Service #1 -palvelua:

Siirry palomuurisääntöihin, joihin on liitetty profiileja, kaksoisnapsauta sääntöä, poista profiilit ikkunan alareunasta napsauttamalla "none" ja napsauta sitten ok:

Näin näet, että Application Patrol -symboli on poistunut palomuurisäännön profiilista:

2) Vianmääritys ja VPN:n läpimenon lisääminen

Tässä osiossa näytetään, miten voit parantaa suorituskykyä sivuston ja sivuston välisessä VPN-tunnelissa (USG FLEX / ATP / VPN Series) iPerf-testauksen, crypto-boost CLI-komennon ja MTU-pirstaloitumisen välttämisen avulla pienemmällä pakettikoolla sekä MSS-säädöllä.

Testiympäristössä käytettiin 2x ATP200:a, jotka oli kytketty tähän topologiaan:

Paikallisen WAN-osoitteen saaminen toimiston palomuurista. Kummallakaan palomuurilla ei ollut liikennettä testien aikana.

Huom! Tietolomakkeessa oleva läpäisykyky perustuu teollisuusstandardin mukaisiin testimittauksiin, joissa testimittaukset tehdään UDP-paketeilla. TCP-liikenne on palomuurille vaativampaa, mikä tarkoittaa, että realistisemman VPN-läpimenotehon saamiseksi on tarkasteltava asteriksia (*):
"*3: VPN-läpimenot mitattu RFC 2544:n perusteella (1 424 tavun UDP-paketit)"

*Vinkki, jota käytämme tukiorganisaatiossa, on jakaa tietolehden läpäisykyky kolmella, jotta saat palomuurisi realistisen läpäisykyvyn.

2.1 iPerf-testaus VPN:n kautta

Lataa iPerf täältä: https://iperf.fr/iperf-download.php

Asenna se tai kopioi .exe-tiedosto CMD-ohjelmaan ja suorita komento sen jälkeen.

Voit myös seurata tätä artikkelia (langattoman yhteyden osalta):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Tarvitset kaksi tietokonetta, jotka on liitetty kummankin sivuston lähiverkkoon, ja niiden pitäisi pystyä pingaamaan toisiaan.

Poista Windowsin palomuuri käytöstä, jos tietokone ei pysty pingaamaan. Toinen tietokone toimii "palvelimena" ja toinen toimii asiakkaana. Tämän jälkeen testaat nopeutta (asiakas) kyseiseen palvelimeen noudattamalla alla olevia ohjeita.

2.1.1 Suorita iPerf palvelin-PC:llä

2.1.1.1 Vedä iperf.exe-tiedosto cmd:hen.

2.1.1.2 Lisää palvelimelle komentoriville "-s".

2.1.1.3 Paina Enter

Esimerkki:

2.1.2 iPerfin suorittaminen asiakastietokoneella.

2.2.2.1 Vedä iperf.exe-tiedosto cmd-ohjelmaan.

2.2.2.2 Lisää "iperf -c -w4M -l 65535 -P 10".

Suorita tämä komento:

2.2.2.2.3 Paina Enter

Esimerkki:

Vastuuvapauslauseke! Koska tämä on testattu VPN-ympäristö lähiverkon kautta, tulokset ovat hyvin samankaltaisia, elleivät jopa samoja.

2.2 Alemman salauksen ja todennuksen käyttäminen

Tämä on sivuston ja sivuston välisen VPN:n tulos, jossa käytetään IKEv2 (aggressiivinen tila) AES128, SHA1-salausta:

Tämä on tulos sivustojen välisestä VPN:stä, jossa on IKEv1 (aggressiivinen tila) DES- ja MD5-salaus:

Joskus salauksen ja todennuksen tasolla on merkitystä VPN-nopeuden kannalta. Esimerkiksi AES256:n käyttäminen on hitaampaa kuin 3DES:n käyttäminen, mutta 3DES:n käyttäminen on vähemmän suojattua kuin AES256:n käyttäminen.

2.3 Crypto-Boost-komennon käyttäminen

ZLD5.10:ssä tehtiin joitakin parannuksia IPSec TCP:n yhden istunnon läpäisykyvyn lisäämiseksi.
- Yksittäisen VPN-istunnon jakaminen useammalle suorittimelle yhden suorittimen sijasta.
- Pakettien järjestäminen uudelleen

Tämä parannus on oletusarvoisesti poistettu käytöstä.

Syy siihen, miksi poistamme sen käytöstä oletusarvoisesti: Tarvitsemme lisää aikaa selvittääksemme, aiheuttaako VPN-istunnon jakaminen useammalle ytimelle vaikutuksia muihin käynnissä oleviin kriittisiin prosesseihimme vai ei. Jos näin ei ole, voimme ottaa sen käyttöön seuraavassa FW-versiossa.

Koska parannus on vielä arvioitavana, emme tee vielä virallista testausta.

Miten parannus otetaan käyttöön tai poistetaan käytöstä:

Ota parannus käyttöön CLI-komennolla:

Voit poistaa parannuksen käytöstä CLI-komennolla käyttämällä:

Täältä löydät, miten voit tehdä paikallisen testin tarkistettavaksi:

Topologia:

ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2.

Testiohjelmisto: Iperf3

Testausasiakas-/palvelinkäyttöjärjestelmä: Windows

Tässä näet IPsec TCP yhden istunnon läpäisykyvyn erot:

crypto-boost-komennon suorittaminen edellä mainittujen vaiheiden avulla, tulokset crypto-boost-komennon suorittamisen jälkeen:

2.4 Tarkista pirstaloituminen WANissa

2.4.1 Käytä Web GUI:ta.

Siirry kohtaan Diagnostic -> Network Tool ja pingaa 8.8.8.8.8 käyttäen oikeaa WAN-liitäntää (tässä tapauksessa wan). Kirjoita sitten laajennusoptio -M do -s 1500.

Pingaa ensin pakettikoolla 1500 (-M do -s 1500), sitten 1492. Sen jälkeen laske alaspäin arvolla 10, kunnes löydät "(typistetyn)" paketin. Sitten nostetaan 2:lla, kunnes saadaan taas pirstaleinen paketti. Edellinen arvo on paras kohta. Kun sinulla on typistetty paketti, se tarkoittaa, että pakettia ei tarvitse pirstoa ja että se voidaan lähettää optimaalisen MTU:n avulla.

Yllä olevassa esimerkissä sweet spot on 1472, koska 1472 ei ole pirstaloitunut, mutta 1474 on.

2.4.2 CMD:n käyttö

Käytä tätä komentoa:

Aloita pakettikoolla 1500 ja laske pakettikokoa 1492:een, vähennä sitten 10:llä (1482 -> 1472 -> 1462 jne.), kunnes paketti ei ole enää pirstaloitunut ja ping vastaa. Sitten kasvatat arvoa 2:lla, kunnes löydät "makean pisteen", jossa paketit eivät enää pirstoudu.

Tässä tapauksessa meidän pitäisi asettaa arvo 1342 + 28 = 1370.

koska

MTU = MSS (1342 tavua tässä esimerkissä) + IP-otsikko (20 tavua) + ICMP-otsikko (8 tavua).

WAN-yhteyden MTU-koon säätämisen jälkeen:

2.5 MSS-säätö

Muussa tapauksessa voit yrittää asettaa MSS-säädön manuaalisesti. Tämä on kokeilu ja erehdys, tee testi ensin 1400:lla ja sitten 1300:lla. Jos saat parannusta asettamalla mukautetun koon jollakin näistä, kokeile seuraavaa:

Esimerkki 1: Saatko paremman läpimenon käyttämällä 1300? Kokeile 1340, parempi kuin 1300? Käytä 1340.
Esimerkki 2: Saatko paremman läpimenon käyttämällä 1400? Kokeile 1360. Parempi kuin 1400? Jos ei, käytä 1400

Voit myös laskea MSS:n käyttämällä vaiheessa 4 tehtyä ping-testiä:

Jos olet edelleen kiinnostunut ja haluat tietää lisää VPN-pakettikokojen laskemisesta, voit tutustua tähän artikkeliin, joka on inspiroinut osan tämän artikkelin sisällöstä:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings