Firewall - Aumento del throughput / Aumento della velocità per WAN e VPN

In questo articolo viene illustrato come è possibile aumentare la velocità e potenziare il throughput di Internet e della VPN utilizzando la GUI Web [USG FLEX/ATP/VPN Series]. Mostra come le statistiche sul traffico, la gestione della larghezza di banda e le funzioni UTM influiscono sul throughput del dispositivo. Inoltre, mostra come eseguire i test iPerf attraverso il tunnel VPN e come utilizzare la crittografia e l'autenticazione inferiori, il comando crypto-boost e la regolazione della frammentazione/MSS per aumentare il throughput della VPN.

In primo luogo, se si dispone della versione 5.10 del firmware, è possibile consultare questo articolo per aumentare la velocità o aggiornare all'ultimo firmware.

Risoluzione dei problemi e aumento della velocità WAN

1.1 Statistiche sul traffico

Andate in Statistiche sul traffico e rimuovete la voce "Raccogli statistiche da tutti i servizi UTM (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - ricordatevi di premere "Applica" dopo aver deselezionato la casella di ciascuna funzione UTM:

Andare quindi a Monitor -> Statistiche sul traffico -> Statistiche sul traffico e deselezionare anche lì la casella "Raccogli statistiche":

A seconda della quantità di traffico nel firewall, si dovrebbe notare un leggero aumento della larghezza di banda. Nel nostro ambiente di prova non c'è molto traffico e quindi non c'è un vero e proprio aumento della velocità di trasmissione.

1.2 Gestione della larghezza di banda

È anche possibile disattivare la gestione della larghezza di banda, che protegge la larghezza di banda del firewall. Andare su Configurazione -> BWM e deselezionare "Abilita BWM" e fare clic su "Applica":

A seconda della quantità di traffico nel firewall, si dovrebbe notare un leggero aumento della larghezza di banda. Nel nostro ambiente di prova non c'è molto traffico e quindi non c'è un vero e proprio aumento della velocità di trasmissione.

1.3 Funzioni UTM (servizi di sicurezza)

Se si desidera un throughput maggiore, è possibile sacrificare i servizi di sicurezza (funzioni UTM) per ottenere un throughput maggiore. Per quanto riguarda l'IDP (IPS), questo aumenterà il throughput complessivo, perché esegue la scansione di tutto il traffico in entrata e in uscita.

Andare a Configurazione -> Servizio di sicurezza -> IPS

Deselezionare la casella di controllo e fare clic su "Applica":

La disattivazione dell'Anti-Malware aumenterà la velocità di download, poiché l'Anti-Malware esegue la scansione di tutti i file scaricati.

Andare a Configurazione -> Servizio di sicurezza -> Anti-Malware

Deselezionare la casella e fare clic su "Applica":

Filtro di reputazione e sicurezza e-mail

È inoltre possibile disattivare il Filtro di reputazione (in Vai a Configurazione -> Servizio di sicurezza -> Filtro di reputazione) e la Sicurezza e-mail.

App Patrol e Filtro contenuti

Poiché questi servizi di sicurezza sono collegati alle regole del firewall, non esistono "pulsanti di disattivazione". È necessario accedere ai menu del servizio di sicurezza e assicurarsi che non vi siano riferimenti a questi servizi di sicurezza:

Se ci sono riferimenti qui, significa che è collegato a una regola del firewall. Fare quindi clic e selezionare il profilo di sicurezza e premere "Riferimenti":

Fare clic su Security Policy Control Service #1:

Andare alle regole del firewall che hanno i profili collegati, fare doppio clic sulla regola, deselezionare i profili nella parte inferiore della finestra facendo clic su "nessuno" e quindi fare clic su OK:

In questo modo si noterà che il simbolo Application Patrol non è più presente nel profilo della regola del firewall:

Risoluzione dei problemi e aumento della velocità di trasmissione VPN

In questa sezione viene illustrato come migliorare le prestazioni del tunnel VPN site-to-site (USG FLEX / ATP / VPN Series), utilizzando il test iPerf, il comando CLI crypto-boost, evitando la frammentazione della MTU con pacchetti di dimensioni inferiori e regolando l'MSS.

L'ambiente di test ha utilizzato due ATP200 collegati in questa topologia:

ottenendo un indirizzo WAN locale dal firewall dell'ufficio. Nessuno dei due firewall aveva traffico durante l'esecuzione dei test.

Nota! Il throughput riportato nella scheda tecnica si basa su misure di test standard del settore, che eseguono le misure di test con pacchetti UDP. Il traffico TCP è più impegnativo per il firewall, pertanto per ottenere un throughput VPN più realistico è necessario considerare gli asterischi (*):
"*3: throughput VPN misurato sulla base di RFC 2544 (pacchetti UDP da 1.424 byte)".

*Un consiglio, che utilizziamo nell'organizzazione di supporto, è quello di dividere il throughput della scheda tecnica per 3 per ottenere un throughput realistico per il vostro firewall.

2.1 Test iPerf tramite VPN

Scaricare iPerf qui: https://iperf.fr/iperf-download.php

Installatelo, oppure copiate il file .exe nel vostro CMD ed eseguite il comando dopo.

È anche possibile seguire questo articolo (per la connessione wireless):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Sono necessari 2 PC collegati alla LAN di ciascun sito e dovrebbero essere in grado di eseguire il ping reciproco.

Disattivare il firewall di Windows se il PC non è pingabile. Un PC fungerà da "server" e l'altro da client. Quindi, si testerà la velocità (client) verso il server seguendo i passaggi seguenti.

2.1.1 Eseguire iPerf sul PC server

2.1.1.1 Trascinare il file iperf.exe in cmd

2.1.1.2 Per il server, aggiungere "-s" alla riga di comando

So run this command: 
%%Path%% -s

2.1.1.3 Premere Invio

Esempio:

2.1.2 Esecuzione di iPerf sul PC client

2.2.2.1 Trascinare il file iperf.exe in cmd

2.2.2.2 Aggiungere "iperf -c -w4M -l 65535 -P 10

Eseguire quindi questo comando:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Premere Invio

Esempio:

Disclaimer! Poiché si tratta di un ambiente VPN di prova attraverso una rete LAN, i risultati saranno molto simili, se non uguali.

2.2 Utilizzo di crittografia e autenticazione inferiori

Questo è il risultato di una VPN site-to-site con crittografia IKEv2 (modalità aggressiva) AES128, SHA1:

Questo è il risultato di una VPN site-to-site con crittografia IKEv1 (modalità aggressiva) DES e MD5:

A volte il livello di crittografia e autenticazione gioca un ruolo nella velocità della VPN. Ad esempio, l'utilizzo di AES256 è più lento di quello di 3DES, ma la sicurezza di quest'ultimo è inferiore a quella di AES256.

2.3 Utilizzo del comando Crypto-Boost

In ZLD5.10 sono stati apportati alcuni miglioramenti per aumentare il throughput della singola sessione IPSec TCP.
- Distribuire la singola sessione VPN su più CPU invece che su una singola CPU.
- Riordinare l'ordine dei pacchetti

Questo miglioramento è disattivato per impostazione predefinita.

Il motivo per cui è stato disabilitato per impostazione predefinita: Abbiamo bisogno di più tempo per chiarire se la distribuzione della sessione VPN su più core provochi o meno effetti su altri processi critici in esecuzione. In caso contrario, potremmo abilitarla nella prossima versione del FW.

Poiché il miglioramento è ancora in fase di valutazione, non abbiamo ancora effettuato test ufficiali.

Come attivare/disattivare il miglioramento:

Per abilitare il miglioramento con un comando CLI, utilizzare:

Router(config)# crypto boost-tcp

Per disabilitare il potenziamento tramite il comando CLI, utilizzare:

Router(config)#no crypto boost-tcp

Qui trovate come effettuare il test locale di verifica:

Topologia:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Software di test: Iperf3

Sistema operativo client/server di prova: Windows

Qui potrete vedere le differenze di throughput della sessione singola di IPsec TCP:

Esecuzione del comando crypto-boost utilizzando i passaggi precedenti, i risultati dopo l'esecuzione del comando crypto-boost:

Router(config)# crypto boost-tcp

2.4 Controllare la frammentazione sulla WAN

2.4.1 Utilizzare la GUI Web.

Navigare in Diagnostica -> Strumento di rete e eseguire un ping 8.8.8.8 utilizzando l'interfaccia WAN corretta (in questo caso wan). Digitare quindi l'opzione di estensione -M do -s 1500.

Eseguire il ping con una dimensione del pacchetto di 1500 (-M do -s 1500), quindi 1492. Poi si scende con un valore di 10, fino a trovare il pacchetto "(truncated)". Poi si sale di 2 fino a quando si ha di nuovo un pacchetto frammentato. Il valore precedente è il punto di forza. Quando si ha un pacchetto troncato significa che il pacchetto non ha bisogno di essere frammentato e quindi può essere inviato con l'MTU ottimale.

Nell'esempio precedente, il punto ottimale è 1472, poiché 1472 non è frammentato ma 1474 sì.

2.4.2 Utilizzare CMD

utilizzare questo comando:

ping www.google.com -f -l 1500

Iniziare con la dimensione del pacchetto 1500 e scendere a 1492, quindi diminuire di un valore di 10 (1482 -> 1472 -> 1462 ecc.), fino a quando il pacchetto non è più frammentato e il ping risponde. Quindi si aumenta il valore di 2 fino a trovare il punto in cui i pacchetti non sono più frammentati.

In questo caso, dovremmo impostare il valore a 1342 + 28 = 1370.

perché

MTU = MSS (1342 byte in questo esempio) + intestazione IP (20 byte) + intestazione ICMP (8 byte)

Dopo aver regolato la dimensione MTU sulla connessione WAN:
2,5 Regolazione MSS

Altrimenti si può provare a impostare manualmente la regolazione MSS. Si tratta di una prova per tentativi: eseguire il test prima con 1400, poi con 1300. Se si ottiene un miglioramento impostando una dimensione personalizzata di una di queste, provare a eseguire le seguenti operazioni:

Esempio 1: Si ottiene una migliore produttività con 1300? Provare con 1340, meglio di 1300? Usate 1340.
Esempio 2: Si ottiene un throughput migliore utilizzando 1400? Provate con 1360. Meglio di 1400? Se no, usare 1400

È anche possibile calcolare l'MSS utilizzando il test ping del punto 4: