Viktig merknad: |
Denne artikkelen viser deg hvordan du kan øke hastigheten og øke internett- og VPN-gjennomstrømningen ved hjelp av Web GUI [USG FLEX/ATP/VPN-serien]. Den viser hvordan trafikkstatistikk, båndbreddeadministrasjon og UTM-funksjoner påvirker enhetens gjennomstrømning. Videre viser den hvordan du utfører iPerf-testing gjennom VPN-tunnelen, og hvordan du bruker lavere kryptering og autentisering, bruker crypto-boost-kommandoen og kontrollerer fragmentering/MSS-justering for å øke VPN-gjennomstrømningen.
Hvis du har fastvareversjon 5.10, kan du se på denne artikkelen for å øke hastigheten eller oppgradere til den nyeste fastvaren.
Innholdsfortegnelse
1) Feilsøking og økt WAN-gjennomstrømning
1.1 Trafikkstatistikk
1.2 Styring av båndbredde
1.3 UTM-funksjoner (sikkerhetstjenester)
2) Feilsøking og økt VPN-gjennomstrømning
2.1 iPerf-testing via VPN
2.2 Bruk av lavere kryptering og autentisering
2.3 Bruke kommandoen Crypto-Boost
2.4 Kontrollere fragmentering på WAN
2.5 Justering av MSS
1) Feilsøking og økt WAN-gjennomstrømning
1.1 Trafikkstatistikk
Gå inn i Traffic Statistics og fjern "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - husk å trykke på "Apply" etter at du har fjernet avmerkingen på hver UTM-funksjon:
Gå deretter til Monitor -> Traffic Statistics -> Traffic Statistics og fjern merket i "Collect Statistics"-boksen der også:
Avhengig av trafikkmengden i brannmuren bør du se en liten økning i båndbredden. I vårt testmiljø er det ikke mye trafikk, og det er derfor ingen økning i gjennomstrømningen.
1.2 Håndtering av båndbredde
Du kan også deaktivere båndbreddestyring som beskytter brannmurens båndbredde. Gå til Configuration -> BWM, fjern merket for "Enable BWM" og klikk på "Apply":
Avhengig av trafikkmengden i brannmuren bør du se en liten økning i båndbredden. I vårt testmiljø er det ikke mye trafikk, og det er derfor ingen økning i gjennomstrømningen.
1.3 UTM-funksjoner (sikkerhetstjenester)
Hvis du ønsker mer gjennomstrømning, kan du ofre sikkerhetstjenestene (UTM-funksjonene) for å få mer gjennomstrømning. For IDP (IPS) vil dette øke den totale gjennomstrømningen fordi den skanner all innkommende og utgående trafikk.
Gå til Konfigurasjon -> Sikkerhetstjeneste -> IPS
Fjern haken i avmerkingsboksen og klikk på "Apply":
Deaktivering av Anti-Malware vil øke nedlastingshastigheten ettersom Anti-Malware skanner alle filene du laster ned.
Gå til Konfigurasjon -> Sikkerhetstjeneste -> Anti-Malware
Fjern merket i avmerkingsboksen og klikk på "Bruk":
Omdømmefilter og e-postsikkerhet
Du kan også deaktivere omdømmefilteret (under Gå til Konfigurasjon -> Sikkerhetstjeneste -> Omdømmefilter) og e-postsikkerhet.
App-patrulje og innholdsfilter
Fordi disse sikkerhetstjenestene er knyttet til brannmurreglene, finnes det ingen "deaktiveringsknapp". Du må gå inn i sikkerhetstjenestemenyene og sørge for at det ikke finnes noen referanser til disse sikkerhetstjenestene:
Hvis det finnes referanser her, betyr det at den er knyttet til en brannmurregel. Klikk og velg deretter sikkerhetsprofilen og trykk på "Referanser":
Klikk på Security Policy Control Service #1:
Gå til brannmurreglene som har profilene knyttet til seg, dobbeltklikk på regelen, fjern merket for profilene nederst i vinduet ved å klikke på "ingen" og klikk deretter på ok:
Du vil nå se at Application Patrol-symbolet er fjernet fra profilen på brannmurregelen:
2) Feilsøking og øke VPN-gjennomstrømningen
Denne delen viser hvordan du kan forbedre ytelsen i din site-to-site VPN-tunnel (USG FLEX/ATP/VPN-serien) ved hjelp av iPerf-testing, CLI-kommandoen crypto-boost, unngå MTU-fragmentering med lavere pakkestørrelse og MSS-justering.
Testmiljøet brukte 2x ATP200 koblet sammen i denne topologien:
Får en lokal WAN-adresse fra brannmuren på kontoret. Ingen av brannmurene hadde trafikk mens testene ble utført.
Merk! Gjennomstrømningen som oppgis i databladet, er basert på bransjestandardiserte testmålinger med UDP-pakker. TCP-trafikk er mer krevende for brannmuren, noe som betyr at du må se på asterikkene (*) for å få en mer realistisk VPN-gjennomstrømning:
"*3: VPN-gjennomstrømning målt basert på RFC 2544 (UDP-pakker på 1 424 byte)."
*Et tips, som vi bruker i supportorganisasjonen, er å dele databladets gjennomstrømning med 3 for å få en realistisk gjennomstrømning for brannmuren din.
2.1 iPerf-testing via VPN
Last ned iPerf her: https://iperf.fr/iperf-download.php
Installer det, eller kopier .exe-filen til CMD og kjør kommandoen etterpå.
Du kan også følge denne artikkelen (for trådløs tilkobling):
https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf
Du trenger to PC-er som er koblet til hvert nettsteds LAN, og de skal kunne pinge hverandre.
Deaktiver Windows-brannmuren hvis PC-en ikke kan pinge. Den ene PC-en skal fungere som "server" og den andre som klient. Deretter tester du hastigheten (klienten) til serveren ved å følge trinnene nedenfor.
2.1.1 Kjør iPerf på server-PC-en
2.1.1.1.1 Dra filen iperf.exe til cmd
2.1.1.2 For serveren legger du til "-s" på kommandolinjen
So run this command:
%%Path%% -s
2.1.1.3 Trykk på Enter
Eksempel:
2.1.2 Kjør iPerf på klient-PC-en
2.2.2.2.1 Dra filen iperf.exe til cmd
2.2.2.2 Legg til "iperf -c -w4M -l 65535 -P 10
Kjør denne kommandoen:
%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10
2.2.2.2.3 Trykk på Enter
Eksempel:
Ansvarsfraskrivelse! Siden dette er et test-VPN-miljø gjennom et LAN-nettverk, vil resultatene være svært like, om ikke de samme.
2.2 Bruk av lavere kryptering og autentisering
Dette er resultatet av et site-to-site VPN med IKEv2 (aggressiv modus) AES128, SHA1-kryptering:
Dette er resultatet av et sted-til-sted-VPN med IKEv1 (aggressiv modus) DES- og MD5-kryptering:
Noen ganger spiller krypterings- og autentiseringsnivået en rolle for VPN-hastigheten. Det er for eksempel tregere å bruke AES256 enn 3DES, men det er mindre sikkerhet ved bruk av 3DES enn AES256.
2.3 Bruke kommandoen Crypto-Boost
I ZLD5.10 har vi gjort noen forbedringer for å øke gjennomstrømningen for IPSec TCP-enkeltøkter
- Distribuere én enkelt VPN-økt til flere CPU-er i stedet for én enkelt CPU.
- Endre rekkefølgen på pakkene
Denne forbedringen er deaktivert som standard.
Grunnen til at den er deaktivert som standard: Vi trenger mer tid til å avklare om fordelingen av VPN-økter over flere kjerner påvirker andre kritiske prosesser som kjører eller ikke. Hvis ikke, kan vi aktivere den i neste FW-versjon.
Siden forbedringen fortsatt er under evaluering, har vi ikke foretatt noen offisiell testing ennå.
Slik aktiverer/deaktiverer du forbedringen:
For å aktivere forbedringen ved hjelp av CLI-kommandoen, bruk:
Router(config)# crypto boost-tcp
For å deaktivere forbedringen med CLI-kommandoen, bruk:
Router(config)#no crypto boost-tcp
Her finner du hvordan du kan utføre en lokal test for å verifisere:
Topologi:
PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2
Testprogramvare: Iperf3
Testklient/server OS: Windows
Her kan du se forskjellene i gjennomstrømning for en enkelt IPsec TCP-sesjon:
Kjører du crypto-boost-kommandoen ved hjelp av trinnene ovenfor, ser du resultatene etter at du har kjørt crypto-boost-kommandoen:
Router(config)# crypto boost-tcp
2.4 Kontrollere fragmentering på WAN
2.4.1 Bruk Web GUI.
Naviger til Diagnostic -> Network Tool og ping 8.8.8.8 ved hjelp av riktig WAN-grensesnitt (i dette tilfellet wan). Skriv deretter inn utvidelsesalternativet -M do -s 1500.
Ping først med en pakkestørrelse på 1500 (-M do -s 1500), deretter 1492. Deretter går du ned med en verdi på 10, til du finner pakken "(truncated)". Deretter går du opp med 2 til du har en fragmentert pakke igjen. Verdien før er det beste punktet. Når du har en trunkert pakke, betyr det at pakken ikke trenger å fragmenteres og derfor kan sendes med optimal MTU.
I eksemplet ovenfor er "sweet spot" for oss 1472, ettersom 1472 ikke er fragmentert, men 1474 er det.
2.4.2 Bruk CMD
Bruk denne kommandoen:
ping www.google.com -f -l 1500
Start med pakkestørrelsen 1500 og gå ned til 1492, og reduser deretter med en verdi på 10 (1482 -> 1472 -> 1462 osv.), helt til du ikke har fragmenterte pakker lenger og ping svarer. Deretter øker du verdien med 2 til du finner "sweet spot" der pakkene ikke lenger er fragmenterte.
I dette tilfellet bør vi sette verdien til 1342 + 28 = 1370.
fordi
MTU = MSS (1342 byte i dette eksemplet) + IP header (20 byte) + ICMP header (8 byte)
Etter å ha justert MTU-størrelsen på WAN-tilkoblingen:
2.5 MSS-justering
Ellers kan du prøve å stille inn MSS-justeringen manuelt. Dette er en prøving og feiling, gjør testen først med 1400, deretter 1300. Hvis du får en forbedring ved å stille inn en tilpasset størrelse på noen av disse, kan du prøve følgende:
Eksempel 1: Får du bedre gjennomstrømning med 1300? Prøv 1340, bedre enn 1300? Bruk 1340.
Eksempel 2: Får du bedre gjennomstrømning med 1400? Prøv 1360. Bedre enn 1400? Hvis ikke, bruk 1400
Du kan også beregne MSS ved hjelp av ping-testen fra trinn 4:
Hvis du er ytterligere interessert og vil vite mer om hvordan du beregner pakkestørrelser for VPN, kan du ta en titt på denne artikkelen som har inspirert noe av innholdet i denne artikkelen:
https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.