Dit artikel laat u zien hoe u uw snelheid kunt verhogen en uw internetdoorvoer en VPN-doorvoer kunt verbeteren met behulp van de Web GUI [USG FLEX/ATP/VPN Series]. Het laat zien hoe verkeersstatistieken, bandbreedtebeheer en UTM-functies de doorvoer van je apparaat beïnvloeden. Verder laat het zien hoe iPerf-tests door de VPN-tunnel kunnen worden uitgevoerd en hoe lagere encrpytion & authenticatie, het gebruik van crypto-boost commando & controleer fragmentatie/MSS aanpassing de VPN-doorvoer kunnen verhogen.

Ten eerste, als je firmware versie 5.10 hebt, kun je naar dit artikel kijken om je snelheid te verhogen of te upgraden naar de nieuwste firmware.

Inhoud

1) Problemen oplossen & WAN-doorvoer verhogen

1.1 Verkeersstatistieken

1.2 Bandbreedtebeheer

1.3 UTM-functies (beveiligingsdiensten)

2) Probleemoplossing & VPN-doorvoer verhogen

2.1 iPerf testen via VPN

2.2 Lagere encryptie & Authenticatie gebruiken

2.3 Crypto-Boost commando gebruiken

2.4. Fragmentatie op WAN controleren

2.5 MSS aanpassing

1) Probleemoplossing & WAN-doorvoer verhogen

1.1 Verkeersstatistieken

Ga naar Verkeersstatistieken en verwijder het vinkje "Verzamel statistieken van alle UTM diensten (App Patrol, Content Filter, Anti-Malware, Reputatie Filter, IPS, Email Beveiliging, SSL Inspectie) - vergeet niet op "Toepassen" te drukken nadat je het vinkje bij elke UTM functie hebt weggehaald:

Ga vervolgens naar Monitor -> Verkeersstatistieken -> Verkeersstatistieken en schakel daar ook het vakje "Statistieken verzamelen" uit:

Afhankelijk van de hoeveelheid verkeer in de firewall, zou je een lichte toename in bandbreedte moeten zien. Voor onze testomgeving is er niet veel verkeer en is er dus niet echt een toename in doorvoer.

1.2 Beheer van bandbreedte

Je kunt Bandbreedtebeheer, dat de bandbreedte van de firewall beschermt, ook uitschakelen. Ga naar Configuratie -> BWM en haal het vinkje weg bij "BWM inschakelen" en klik op "Toepassen":

Afhankelijk van de hoeveelheid verkeer in de firewall, zou je een lichte toename in bandbreedte moeten zien. In onze testomgeving is er niet veel verkeer en is er dus niet echt een toename in doorvoer.

1.3 UTM-functies (Beveiligingsservices)

Als je meer doorvoer wilt, kun je de Beveiligingsdiensten (UTM-functies) opofferen om meer doorvoer te krijgen. Voor IDP (IPS) zal dit je totale doorvoer verhogen omdat het al het inkomende en uitgaande verkeer scant.

Ga naar Configuratie -> Beveiligingsdienst -> IPS

Schakel het selectievakje uit en klik op "Toepassen":

Als u de Anti-Malware uitschakelt, zal uw downloadsnelheid toenemen omdat de Anti-Malware alle bestanden die u downloadt scant.

Ga naar Configuratie -> Beveiligingsdienst -> Anti-Malware

Schakel het selectievakje uit en klik op "Toepassen":

Reputatiefilter en e-mailbeveiliging

Je kunt het reputatiefilter ook uitschakelen (onder Ga naar Configuratie -> Beveiligingsdienst -> Reputatiefilter) en e-mailbeveiliging.

App-patrouille en inhoudfilter

Omdat deze beveiligingsservices aan de firewallregels zijn gekoppeld, is er geen "uitschakelknop". Je moet naar de menu's van de beveiligingsdiensten gaan en ervoor zorgen dat er geen verwijzingen zijn naar deze beveiligingsdiensten:

Als er hier verwijzingen zijn, betekent dit dat het gekoppeld is aan een firewallregel. Klik en selecteer dan op het beveiligingsprofiel en klik op "Referenties":

Klik op Security Policy Control Service #1:

Ga naar de firewallregels waaraan de profielen zijn gekoppeld, dubbelklik op de regel, deselecteer de profielen onderaan het venster door op "none" te klikken en klik dan op ok:

Door dit te doen zul je nu zien dat het symbool Application Patrol verdwenen is uit het profiel op de firewallregel:

2) Problemen oplossen & VPN-doorvoer verhogen

Dit hoofdstuk laat zien hoe u de prestaties van uw site-to-site VPN-tunnel (USG FLEX / ATP / VPN Series) kunt verbeteren door iPerf-testen, crypto-boost CLI-commando's en het vermijden van MTU-fragmentatie met een lagere pakketgrootte en MSS-aanpassing.

De testomgeving gebruikte 2x ATP200 aangesloten in deze topologie:

Een lokaal WAN-adres krijgen van de firewall op kantoor. Geen van beide firewalls had verkeer tijdens het uitvoeren van de tests.

Opmerking! De doorvoer op de datasheet maakt gebruik van industrie-standaard testmetingen, die de testmetingen uitvoeren met UDP pakketten. TCP-verkeer is veeleisender voor de firewall, wat betekent dat je naar de asteriks (*) moet kijken om een meer realistische VPN-doorvoer te krijgen:
"*3: VPN-doorvoer gemeten op basis van RFC 2544 (UDP-pakketten van 1.424 bytes)".

*Een tip, die we gebruiken in de support organisatie, is om de doorvoer van de datasheet te delen door 3 om een realistische doorvoer voor je firewall te krijgen.

2.1 iPerf testen via VPN

Download iPerf hier: https://iperf.fr/iperf-download.php

Installeer het, of kopieer het .exe bestand naar je CMD en voer het commando daarna uit.

Je kunt ook dit artikel volgen (voor draadloze verbinding):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Je hebt 2 PC's nodig die verbonden zijn met het LAN van elke site en ze zouden elkaar moeten kunnen pingen.

Schakel de Windows firewall uit als de PC niet pingbaar is. Eén PC zal fungeren als "server" en de andere als client. Vervolgens test je de snelheid (client) naar die server door de onderstaande stappen te volgen.

2.1.1 iPerf uitvoeren op de server-pc

2.1.1.1 Sleep het bestand iperf.exe naar cmd

2.1.1.2 Voeg voor de server "-s" toe aan de opdrachtregel

2.1.1.3 Druk op Enter

Voorbeeld:

2.1.2 iPerf op client PC uitvoeren

2.2.2.1 Het bestand iperf.exe naar cmd slepen

2.2.2.2 "iperf -c -w4M -l 65535 -P 10" toevoegen

Voer dus dit commando uit:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Druk op Enter

Voorbeeld:

Disclaimer! Omdat dit een test VPN-omgeving is via een LAN-netwerk, zullen de resultaten zeer vergelijkbaar, zo niet hetzelfde zijn.

2.2 Lagere encryptie & Authenticatie gebruiken

Dit is het resultaat van een site-to-site VPN met IKEv2 (agressieve modus) AES128, SHA1 versleuteling:

Dit is het resultaat van een site-to-site VPN met IKEv1 (agressieve modus) DES & MD5-codering:

Soms speelt het niveau van versleuteling en authenticatie een rol in de VPN-snelheid. Het gebruik van AES256 is bijvoorbeeld langzamer dan het gebruik van 3DES, maar er is minder beveiliging bij het gebruik van 3DES dan bij AES256.

2.3 Crypto-Boost commando gebruiken

In ZLD5.10 zijn een aantal verbeteringen doorgevoerd om de doorvoer van een enkele IPSec TCP-sessie te verhogen
- Verspreid de enkele VPN-sessie over meerdere CPU's in plaats van een enkele CPU
- De pakketvolgorde herschikken

Deze verbetering is standaard uitgeschakeld.

De reden waarom we dit standaard uitschakelen: We hebben meer tijd nodig om te bepalen of de verdeling van VPN-sessies over meerdere cores effecten heeft op andere kritieke processen. Als dat niet het geval is, kunnen we het in de volgende FW-versie inschakelen.

Omdat de verbetering nog in evaluatie is, doen we nog geen officiële test.

Hoe schakel je het onderhoud in/uit:

Om het onderhoud aan te zetten via een CLI commando, gebruik je:

Router(config)# crypto boost-tcp

Om het onderhoud per CLI commando uit te schakelen gebruik:

Router(config)#no crypto boost-tcp

Hier zie je hoe je de lokale test kunt uitvoeren om te verifiëren:

Topologie:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Testsoftware: Iperf3

OS van testclient/server: Windows

Hier zie je de verschillen van IPsec TCP single session throughput:

Het uitvoeren van het commando crypto-boost met bovenstaande stappen, de resultaten na het uitvoeren van het commando crypto-boost:

Router(config)# crypto boost-tcp

2.4 Controleer fragmentatie op WAN

2.4.1 Web GUI gebruiken.

Navigeer naar Diagnostic -> Network Tool en ping 8.8.8.8 met behulp van de juiste WAN-interface (in dit geval wan). Typ vervolgens de uitbreidingsoptie -M do -s 1500.

Ping eerst met een pakketgrootte van 1500 (-M do -s 1500), dan 1492. Ga dan naar beneden met een waarde van 10, totdat je het "(truncated)" pakket vindt. Dan ga je met 2 omhoog totdat je weer een gefragmenteerd pakket hebt. De waarde hiervoor is de sweet spot. Wanneer je een afgekapt pakket hebt, betekent dit dat het pakket niet gefragmenteerd hoeft te worden en dus verzonden kan worden met de optimale MTU.

In dit voorbeeld hierboven is de sweet spot voor ons 1472 omdat 1472 niet gefragmenteerd is en 1474 wel.

2.4.2 CMD gebruiken

Gebruik dit commando:

ping www.google.com -f -l 1500

Begin met pakketgrootte 1500 en ga omlaag naar 1492, verlaag dan met een waarde van 10 (1482 -> 1472 -> 1462 etc.), totdat je geen gefragmenteerd pakket meer hebt en ping reageert. Vervolgens verhoog je de waarde met 2 totdat je de "sweet spot" hebt gevonden waar de pakketten niet meer gefragmenteerd zijn.

In dit geval moeten we de waarde instellen op 1342 + 28 = 1370.

omdat

MTU = MSS (1342 bytes in dit voorbeeld) + IP-header (20 bytes) + ICMP-header (8 bytes)

Na het aanpassen van de MTU-grootte op de WAN-verbinding:

2.5 MSS-aanpassing

Anders kun je proberen de MSS-aanpassing handmatig in te stellen. Dit is uitproberen, doe de test eerst met 1400, dan met 1300. Als je een verbetering krijgt bij het instellen van een aangepaste grootte van een van deze, probeer dan het volgende hieronder:

Voorbeeld 1: Krijg je een betere doorvoer met 1300? Probeer 1340, beter dan 1300? Gebruik 1340.
Voorbeeld 2: Krijg je een betere doorvoer als je 1400 gebruikt? Probeer 1360. Beter dan 1400? Zo niet, gebruik dan 1400.

Je kunt MSS ook berekenen met de ping-test uit stap 4:

Als je verder geïnteresseerd bent en meer wilt weten over hoe je de pakketgroottes voor VPN kunt berekenen, kun je een kijkje nemen in dit artikel dat een deel van de inhoud in dit artikel inspireerde:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings