Pare-feu - Augmentation du débit / Augmentation de la vitesse pour le réseau étendu et le réseau privé virtuel (VPN)

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Cet article vous montrera comment vous pouvez augmenter votre vitesse et augmenter votre débit Internet et votre débit VPN en utilisant l'interface graphique Web [USG FLEX/ATP/VPN Series]. Il montre comment les statistiques de trafic, la gestion de la bande passante et les fonctions UTM affectent le débit de votre appareil. En outre, il montre comment effectuer le test iPerf à travers le tunnel VPN, et comment utiliser l'encrpytion et l'authentification inférieures, en utilisant la commande crypto-boost et en vérifiant la fragmentation/l'ajustement du MSS pour augmenter le débit VPN.

Tout d'abord, si vous avez la version 5.10 du firmware, vous pouvez consulter cet article pour augmenter votre vitesse ou mettre à jour votre firmware.

Table des matières

1) Dépannage et augmentation du débit WAN

1.1 Statistiques du trafic

1.2 Gestion de la bande passante

1.3 Fonctions UTM (services de sécurité)

2) Dépannage et augmentation du débit VPN

2.1 Test iPerf à travers le VPN

2.2 Utilisation d'un cryptage et d'une authentification plus faibles

2.3 Utilisation de la commande Crypto-Boost

2.4 Vérifier la fragmentation sur le réseau étendu

2.5 Ajustement du MSS

1) Dépannage et augmentation du débit WAN

1.1 Statistiques du trafic

Allez dans Statistiques du trafic et supprimez la case "Collecter les statistiques de tous les services UTM (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - n'oubliez pas d'appuyer sur "Apply" après avoir décoché la case de chaque fonction UTM :

mceclip13.png

Ensuite, allez dans Moniteur -> Statistiques de trafic -> Statistiques de trafic et décochez la case "Collecter les statistiques" :

mceclip15.png

En fonction de la quantité de trafic dans le pare-feu, vous devriez constater une légère augmentation de la bande passante. Dans notre environnement de test, il n'y a pas beaucoup de trafic et il n'y a donc pas vraiment d'augmentation du débit.

1.2 Gestion de la bande passante

Vous pouvez également désactiver la gestion de la bande passante qui protège la bande passante du pare-feu. Allez dans Configuration -> BWM et décochez la case "Activer BWM" et cliquez sur "Appliquer":

mceclip16.png

En fonction de la quantité de trafic dans le pare-feu, vous devriez constater une légère augmentation de la bande passante. Dans notre environnement de test, il n'y a pas beaucoup de trafic et il n'y a donc pas vraiment d'augmentation du débit.


1.3 Fonctions de l'UTM (services de sécurité)

Si vous voulez plus de débit, vous pouvez sacrifier les services de sécurité (fonctions UTM) pour obtenir plus de débit. Pour l'IDP (IPS), cela augmentera votre débit global car il analyse tout le trafic entrant et sortant.

Allez dans Configuration -> Service de sécurité -> IPS

Décochez la case et cliquez sur "Appliquer":

mceclip19.png

La désactivation de l'anti-logiciel malveillant augmentera votre vitesse de téléchargement car l'anti-logiciel malveillant analyse tous les fichiers que vous téléchargez.

Allez dans Configuration -> Service de sécurité -> Anti-malware

Décochez la case et cliquez sur "Appliquer":

mceclip19.png

Filtre de réputation et sécurité du courrier électronique

Vous pouvez également désactiver le filtre de réputation (sous Configuration -> Service de sécurité -> Filtre de réputation) et la sécurité des courriels.

App Patrol & Content Filter

Comme ces services de sécurité sont liés aux règles du pare-feu, il n'y a pas de "bouton de désactivation". Vous devez aller dans les menus des services de sécurité et vous assurer qu'il n'y a aucune référence à ces services de sécurité :

mceclip21.png

mceclip22.png

mceclip23.png

S'il y a des références ici, cela signifie qu'ils sont attachés à une règle de pare-feu. Cliquez et sélectionnez le profil de sécurité et cliquez sur "Références" :

mceclip24.png

Cliquez sur Security Policy Control Service #1 :

mceclip27.png

Allez aux règles du pare-feu auxquelles les profils sont attachés, double-cliquez sur la règle, désélectionnez les profils en bas de la fenêtre en cliquant sur "none" , puis cliquez sur ok:

mceclip28.png

mceclip29.png

Vous verrez alors que le symbole de la patrouille d'application a disparu du profil de la règle de pare-feu :

mceclip33.png

2) Dépannage et augmentation du débit du VPN

Cette section montre comment améliorer les performances de votre tunnel VPN site à site (USG FLEX / ATP / VPN Series), en utilisant les tests iPerf, la commande CLI crypto-boost, et en évitant la fragmentation MTU avec une taille de paquet plus faible, ainsi que l'ajustement MSS.

L'environnement de test utilisait 2 ATP200 connectés dans cette topologie :

mceclip0.png

Obtention d'une adresse WAN locale à partir du pare-feu du bureau. Aucun des pare-feux n'avait de trafic pendant les tests.

Remarque ! Le débit indiqué sur la fiche technique est basé sur les mesures de test standard de l'industrie, qui utilisent des paquets UDP. Le trafic TCP est plus exigeant pour le pare-feu, ce qui signifie que pour obtenir un débit VPN plus réaliste, vous devez regarder les astérisques (*) :
"*3 : débit VPN mesuré sur la base de la RFC 2544 (paquets UDP de 1 424 octets)"

*Une astuce, que nous utilisons dans l'organisation de support, est de diviser le débit de la fiche technique par 3 pour obtenir un débit réaliste pour votre pare-feu.

2.1 Test iPerf par VPN

Téléchargez iPerf ici : https://iperf.fr/iperf-download.php

Installez-le ou copiez le fichier .exe dans votre CMD et exécutez la commande après.

Vous pouvez également suivre cet article (pour la connexion sans fil) :

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Vous avez besoin de 2 PC connectés au réseau local de chaque site et ils devraient pouvoir s'envoyer des signaux (ping) l'un à l'autre.

mceclip1.png

Désactivez le pare-feu Windows si le PC n'est pas pingable. L'un des PC servira de "serveur" et l'autre de "client". Vous testez ensuite la vitesse (client) vers ce serveur en suivant les étapes ci-dessous.


2.1.1 Exécuter iPerf sur le PC serveur

2.1.1.1 Faites glisser le fichier iperf.exe dans cmd

2.1.1.2 Pour le serveur, ajouter "-s" dans la ligne de commande

So run this command: 
%%Path%% -s

2.1.1.3 Appuyez sur Entrée

Exemple :

mceclip2.png

2.1.2 Exécuter iPerf sur le PC client

2.2.2.1 Faire glisser le fichier iperf.exe vers cmd

2.2.2.2 Ajouter "iperf -c -w4M -l 65535 -P 10

Exécutez ensuite cette commande :

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Appuyez sur Entrée

Exemple :

mceclip3.png

Avertissement ! Comme il s'agit d'un environnement VPN de test via un réseau LAN, les résultats seront très similaires, voire identiques.

2.2 Utilisation d'un cryptage et d'une authentification plus faibles

Voici le résultat d'un VPN site à site avec IKEv2 (mode agressif) cryptage AES128, SHA1 :

mceclip4.png

Ceci est le résultat d'un VPN site à site avec IKEv1 (mode agressif) DES & MD5 encryption :

mceclip5.png

Parfois, le niveau de cryptage et d'authentification joue un rôle dans la vitesse du VPN. Par exemple, l'utilisation d'AES256 est plus lente que l'utilisation de 3DES, mais la sécurité est moindre avec 3DES qu'avec AES256.

2.3 Utilisation de la commande Crypto-Boost

Dans ZLD5.10, nous avons apporté quelques améliorations pour augmenter le débit de la session unique TCP IPSec
- Répartition de la session VPN unique sur plusieurs unités centrales au lieu d'une seule.
- Réorganiser l'ordre des paquets

Cette amélioration est désactivée par défaut.

La raison pour laquelle nous la désactivons par défaut : Nous avons besoin de plus de temps pour déterminer si la répartition de la session VPN sur plusieurs cœurs entraîne des effets sur les autres processus critiques en cours d'exécution ou non. Si ce n'est pas le cas, nous pourrons l'activer dans la prochaine version de FW.

Cette amélioration étant encore en cours d'évaluation, nous ne procédons pas encore à des tests officiels.

Comment activer/désactiver l'amélioration :

Pour activer l'amélioration par une commande CLI, utilisez :

Router(config)# crypto boost-tcp

mceclip6.png

Pour désactiver l'amélioration à l'aide de la commande CLI, utilisez : dyn_repppp_2

dyn_repppp_3

mceclip7.png

Voici comment vous pouvez effectuer un test local pour vérifier :

Topologie :

PC1 -- (LAN) ATP800-A (WAN) ----- VPN IPSec ----- (WAN) ATP800-B (LAN) -- PC2

Logiciel de test : Iperf3

Test Client/Server OS : Windows

Vous verrez ici les différences de débit de la session unique IPsec TCP :

mceclip8.png

L'exécution de la commande crypto-boost en utilisant les étapes ci-dessus, les résultats après l'exécution de la commande crypto-boost :

Router(config)# crypto boost-tcp

mceclip9.png

2.4 Vérifier la fragmentation sur le réseau étendu

2.4.1 Utiliser l'interface graphique Web.

Naviguez vers Diagnostic -> Network Tool et faites un ping à 8.8.8.8 en utilisant l'interface WAN correcte (dans ce cas wan). Tapez ensuite l'option d'extension -M do -s 1500.

Effectuez d'abord un ping avec une taille de paquet de 1500 (-M do -s 1500), puis de 1492. Descendez ensuite avec une valeur de 10, jusqu'à ce que vous trouviez le paquet "(tronqué)". Ensuite, vous augmentez de 2 jusqu'à ce que vous ayez à nouveau un paquet fragmenté. La valeur précédente est le point idéal. Lorsque vous avez un paquet tronqué, cela signifie que le paquet n'a pas besoin d'être fragmenté et qu'il peut donc être envoyé avec le MTU optimal.

mceclip0.png

Dans l'exemple ci-dessus, la valeur optimale est 1472 car 1472 n'est pas fragmenté mais 1474 l'est.

2.4.2 Utiliser CMD

Utilisez cette commande :

ping www.google.com -f -l 1500

Commencez avec une taille de paquet de 1500 et descendez à 1492, puis diminuez par une valeur de 10 (1482 -> 1472 -> 1462 etc.), jusqu'à ce que vous n'ayez plus de paquet fragmenté et que le ping réponde. Ensuite, vous augmentez la valeur de 2 jusqu'à ce que vous trouviez le "sweet spot" où les paquets ne sont plus fragmentés.

mceclip10.png

Dans ce cas, nous devrions fixer la valeur à 1342 + 28 = 1370.

becaue

MTU = MSS (1342 octets dans cet exemple) + en-tête IP (20 octets) + en-tête ICMP (8 octets)

mceclip11.png

Après avoir ajusté la taille du MTU sur la connexion WAN :
mceclip12.png


2.5 MSS Ajustement

Vous pouvez également essayer de régler manuellement l'ajustement du MSS. Il s'agit d'un essai et d'une erreur, faites le test d'abord avec 1400, puis avec 1300. Si vous obtenez une amélioration en définissant une taille personnalisée de l'une de ces deux valeurs, essayez ce qui suit :

Exemple 1 : Obtenez-vous un meilleur débit en utilisant 1300 ? Essayez 1340, mieux que 1300 ? Utilisez 1340.
Exemple 2 : Obtenez-vous un meilleur débit en utilisant 1400 ? Essayez 1360. Meilleur que 1400 ? Si ce n'est pas le cas, utilisez 1400

Vous pouvez également calculer le MSS à l'aide du test ping de l'étape 4 :

mceclip13.png

Si vous êtes intéressé et souhaitez en savoir plus sur la façon de calculer la taille des paquets pour le VPN, vous pouvez consulter cet article qui a inspiré une partie du contenu de cet article :

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 6 sur 6
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.