Tűzfal - Áteresztőképesség növelése / sebességnövelés WAN és VPN számára

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Ez a cikk megmutatja, hogyan növelheti a sebességet, és hogyan növelheti az internet és a VPN átviteli sebességét a webes felhasználói felület [USG FLEX/ATP/VPN sorozat] használatával. Bemutatja, hogy a forgalmi statisztikák, a sávszélesség-kezelés és az UTM funkciók hogyan befolyásolják az eszköz átviteli teljesítményét. Továbbá bemutatja, hogyan lehet iPerf tesztelést végezni a VPN alagúton keresztül, és az alacsonyabb titkosítás és hitelesítés, a crypto-boost parancs használata és a fragmentáció ellenőrzése/MSS beállítása segítségével növelni a VPN átviteli sebességet.

Először is, ha az 5.10-es firmware-verzióval rendelkezik, nézze meg ezt a cikket a sebesség növelése érdekében, vagy frissítse a legújabb firmware-re.

Tartalomjegyzék

1) Hibaelhárítás és a WAN-átviteli sebesség növelése

1.1 Forgalmi statisztikák

1.2 Sávszélesség kezelése

1.3 UTM funkciók (biztonsági szolgáltatások)

2) Hibaelhárítás és a VPN áteresztőképességének növelése

2.1 iPerf tesztelés VPN-en keresztül

2.2 Alacsonyabb titkosítás és hitelesítés használata

2.3 Crypto-Boost parancs használata

2.4 Töredezettség ellenőrzése a WAN-on

2.5 MSS beállítása

1) Hibaelhárítás és a WAN átviteli sebesség növelése

1.1 Forgalmi statisztikák

Menjen a Traffic Statistics (forgalmi statisztikák) menüpontba, és távolítsa el a "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - ne feledje , hogy az egyes UTM funkciók jelölőnégyzetének eltávolítása után nyomja meg az "Apply" (Alkalmazás) gombot:

mceclip13.png

Ezután menjen a Monitor -> Traffic Statistics -> Traffic Statistics menüpontba, és ott is vegye ki a jelölőnégyzetet a "Collect Statistics" (Statisztikák gyűjtése) jelölőnégyzetből:

mceclip15.png

A tűzfal forgalmának mennyiségétől függően a sávszélesség enyhe növekedését kell látnia. A mi tesztkörnyezetünkben nincs nagy forgalom, így nem igazán tapasztalható az áteresztőképesség növekedése.

1.2 A sávszélesség kezelése

A sávszélesség-kezelés kikapcsolható, amely a tűzfal sávszélességét védi. Válassza a Konfiguráció -> BWM menüpontot, és törölje a "BWM engedélyezése" jelölőnégyzetet, majd kattintson az "Alkalmazás" gombra:

mceclip16.png

A tűzfal forgalmának mennyiségétől függően a sávszélesség enyhe növekedését kell látnia. A mi tesztkörnyezetünkben nincs nagy forgalom, így nem igazán tapasztalható az átviteli sebesség növekedése.


1.3 UTM-funkciók (biztonsági szolgáltatások)

Ha nagyobb áteresztőképességet szeretne, akkor a nagyobb áteresztőképesség érdekében feláldozhatja a biztonsági szolgáltatásokat (UTM funkciók). Az IDP (IPS) esetében ez növeli az általános átviteli teljesítményt, mivel az összes bejövő és kimenő forgalmat vizsgálja.

Válassza a Konfiguráció -> Biztonsági szolgáltatás -> IPS menüpontot.

Vegye ki a jelölőnégyzetet, és kattintson az "Apply" (Alkalmazás) gombra:

mceclip19.png

Az Anti-Malware letiltása növeli a letöltési sebességet, mivel az Anti-malware az összes letöltött fájlt átvizsgálja.

Válassza a Konfiguráció -> Biztonsági szolgáltatás -> Anti-Malware (rosszindulatú szoftverek elleni védelem) menüpontot.

Törölje a jelölőnégyzetet, és kattintson az "Alkalmazás" gombra:

mceclip19.png

Hírnévszűrő és e-mail biztonság

A Hírnévszűrőt (a Konfiguráció -> Biztonsági szolgáltatás -> Hírnévszűrő menüpont alatt) és az Email biztonságot is letilthatja.

App Patrol és tartalomszűrő

Mivel ezek a biztonsági szolgáltatások a tűzfalszabályokhoz kapcsolódnak, nincs "letiltás gomb". Be kell lépnie a biztonsági szolgáltatás menüjébe, és meg kell győződnie arról, hogy nincs hivatkozás ezekre a biztonsági szolgáltatásokra:

mceclip21.png

mceclip22.png

mceclip23.png

Ha vannak itt hivatkozások, az azt jelenti, hogy egy tűzfalszabályhoz van csatolva. Ezután kattintson és válassza ki a biztonsági profilt, majd nyomja meg a "Hivatkozások" gombot:

mceclip24.png

Kattintson a Security Policy Control Service #1 szolgáltatásra:

mceclip27.png

Menjen a profilokat tartalmazó tűzfalszabályokhoz, kattintson duplán a szabályra, szüntesse meg a profilok kiválasztását az ablak alján a "nincs" gombra kattintva, majd kattintson az ok gombra:

mceclip28.png

mceclip29.png

A tűzfalszabály profiljából eltűnt az Application Patrol szimbólum:

mceclip33.png

2) Hibaelhárítás és a VPN-teljesítmény növelése

Ez a szakasz bemutatja, hogyan javíthatja a webhelyek közötti VPN-alagút (USG FLEX / ATP / VPN sorozat) teljesítményét az iPerf tesztelés, a crypto-boost CLI parancs és az MTU fragmentáció elkerülése alacsonyabb csomagmérettel, valamint az MSS beállítása segítségével.

A tesztkörnyezetben 2x ATP200-at használtunk, amelyek ebben a topológiában voltak összekötve:

mceclip0.png

A helyi WAN-cím megszerzése az irodai tűzfalról. A tesztek elvégzése közben egyik tűzfalon sem volt forgalom.

Megjegyzés! Az adatlapon szereplő áteresztőképesség az iparági szabványos tesztméréseket használja, amelyek a tesztméréseket UDP csomagokkal végzik. A TCP-forgalom nagyobb igénybevételt jelent a tűzfal számára, ami azt jelenti, hogy a reálisabb VPN-átbocsátóképességhez az aszteriks (*) értékeket kell megnézni:
"*3: RFC 2544 alapján mért VPN áteresztőképesség (1424 bájtos UDP csomagok)"

*Egy tipp, amit a támogatási szervezetben használunk, hogy az adatlapon szereplő átviteli teljesítményt ossza el 3-mal, hogy reális átviteli teljesítményt kapjon a tűzfalához.

2.1 iPerf-tesztelés VPN-en keresztül

Az iPerf letöltése itt: https://iperf.fr/iperf-download.php

Telepítse, vagy másolja az .exe fájlt a CMD-be, és futtassa a parancsot utána.

Ezt a cikket is követheti (vezeték nélküli kapcsolathoz):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Szüksége van 2 PC-re, amelyek mindkét helyszín LAN-jára csatlakoznak, és képesnek kell lenniük egymás pingelésére.

mceclip1.png

Kapcsolja ki a Windows tűzfalat, ha a PC nem pingelhető. Az egyik PC "kiszolgálóként", a másik pedig ügyfélként fog működni. Ezután az alábbi lépésekkel teszteli a sebességet (kliens) ehhez a szerverhez.


2.1.1 Az iPerf futtatása a kiszolgáló PC-n

2.1.1.1.1 Húzza az iperf.exe fájlt a cmd-be

2.1.1.2 A kiszolgálóhoz adja hozzá a "-s" szót a parancssorhoz.

dyn_repppppppp_0

2.1.1.3 Nyomja meg az Entert

Példa:

mceclip2.png

2.1.2 Az iPerf futtatása az ügyfélszámítógépen

2.2.2.2.1 Húzza az iperf.exe fájlt a cmd-hez

2.2.2.2.2 Adja hozzá az "iperf -c -w4M -l 65535 -P 10" szöveget

Így futtassa ezt a parancsot:

dyn_repppppppp_1

2.2.2.2.3 Nyomja meg az Entert

Példa:

mceclip3.png

Felelősségi nyilatkozat! Mivel ez egy teszt VPN-környezet egy LAN-hálózaton keresztül, az eredmények nagyon hasonlóak lesznek, ha nem is ugyanazok.

2.2 Alacsonyabb titkosítás és hitelesítés használata

Ez az IKEv2 (agresszív mód) AES128, SHA1 titkosítású IKEv2 (agresszív mód) AES128, SHA1 titkosítású hely-helyközi VPN eredménye:

mceclip4.png

Ez egy IKEv1 (agresszív üzemmódú) DES és MD5 titkosítással működő hely-helyközi VPN eredménye:

mceclip5.png

A titkosítás és a hitelesítés szintje néha szerepet játszik a VPN sebességében. Például az AES256 használata lassabb, mint a 3DES használata, azonban a 3DES használata kevésbé biztonságos, mint az AES256 használata.

2.3 A Crypto-Boost parancs használata

A ZLD5.10-ben az IPSec TCP egyetlen munkamenetének átbocsátóképességét növelő fejlesztéseket hajtottunk végre.
- Az egyetlen VPN-munkamenet elosztása több CPU-ra egyetlen CPU helyett.
- A csomagok sorrendjének átrendezése

Ez a fejlesztés alapértelmezés szerint le van tiltva.

Az ok, amiért alapértelmezés szerint letiltjuk: Több időre van szükségünk annak tisztázására, hogy a VPN-munkamenet több magra történő elosztása okoz-e bármilyen hatást a többi kritikus folyamatunk futására vagy sem. Ha nem, akkor a következő FW-verzióban engedélyezhetjük.

Mivel a fejlesztés még mindig tesztelés alatt áll, még nem végezzük el a hivatalos tesztelést.

A fejlesztés engedélyezése/letiltása:

CLI-paranccsal engedélyezheti a fejlesztést:

dyn_repppppppp_2

mceclip6.png

A bővítés CLI-paranccsal történő letiltásához használja a következőt:

dyn_repppppppp_3

mceclip7.png

Itt találja, hogyan ellenőrizheti a helyi tesztet:

Topológia:

(LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Tesztszoftver: Iperf3

Tesztkliens/szerver operációs rendszer: Windows

Itt láthatja az IPsec TCP egyetlen munkamenet átviteli sebességének különbségeit:

mceclip8.png

A crypto-boost parancs futtatása a fenti lépésekkel, az eredmények a crypto-boost parancs futtatása után:

dyn_repppppppp_4

mceclip9.png

2.4 A töredezettség ellenőrzése a WAN-on

2.4.1 Használja a webes felhasználói felületet.

Navigáljon a Diagnosztika -> Hálózati eszköz menüpontra, és pingelje a 8.8.8.8.8.8-at a megfelelő WAN-interfész (ebben az esetben wan) használatával. Ezután írja be a -M do -s 1500 bővítési opciót.

Először 1500-as csomagmérettel pingeljen (-M do -s 1500), majd 1492-es csomagmérettel. Ezután menj lefelé 10-es értékkel, amíg meg nem találod a "(csonka)" csomagot. Ezután menj felfelé 2-vel, amíg ismét egy töredezett csomagot nem kapsz. Az előbbi érték a sweet spot. Ha csonka csomagot kapsz, az azt jelenti, hogy a csomagot nem kell töredezni, és ezért az optimális MTU-val küldheted el.

mceclip0.png

A fenti példában a sweet spot számunkra 1472, mivel az 1472 nem töredezett, de az 1474 igen.

2.4.2 CMD használata

használja ezt a parancsot:

dyn_repppppppp_5

Kezdd 1500-as csomagmérettel, és menj le 1492-ig, majd csökkentsd 10-es értékkel (1482 -> 1472 -> 1462 stb.), amíg nincs többé töredezett csomagod, és a ping nem válaszol. Ezután növeld az értéket 2-vel, amíg meg nem találod az "édes pontot", ahol a csomagok már nem töredezettek.

mceclip10.png

Ebben az esetben az értéket 1342 + 28 = 1370-re kell beállítanunk.

mert

MTU = MSS (ebben a példában 1342 bájt) + IP fejléc (20 bájt) + ICMP fejléc (8 bájt).

mceclip11.png

Az MTU méretének beállítása után a WAN-kapcsolaton:
mceclip12.png


2.5 MSS beállítása

Ellenkező esetben megpróbálhatja manuálisan beállítani az MSS-beállítást. Ez próba és hiba, először 1400, majd 1300-as értékkel végezze el a tesztet. Ha bármelyik egyéni méret beállításával javulást ér el, próbálja ki az alábbiakat:

Példa 1: Jobb átbocsátási teljesítményt ér el az 1300-as érték használatával? Próbálja ki az 1340-et, jobb, mint az 1300? Használja az 1340-et.
2. példa: Jobb az átviteli sebesség 1400-as értékkel? Próbálja ki az 1360-at. Jobb, mint az 1400? Ha nem, használja az 1400-at.

Az MSS-t a 4. lépésben végzett ping-teszt segítségével is kiszámíthatja:

mceclip13.png

Ha további érdeklődést mutat, és többet szeretne megtudni a VPN csomagméretének kiszámításáról, nézze meg ezt a cikket, amely a cikk tartalmának egy részét inspirálta:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
6/6 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.