W tym artykule pokazano, w jaki sposób można zwiększyć prędkość i przepustowość Internetu oraz przepustowość VPN za pomocą internetowego interfejsu GUI [USG FLEX/ATP/VPN Series]. Pokazuje, w jaki sposób statystyki ruchu, zarządzanie przepustowością i funkcje UTM wpływają na przepustowość urządzenia. Ponadto pokazano, jak przeprowadzić testy iPerf przez tunel VPN, a także użyć niższej enkrypcji i uwierzytelniania, używając polecenia crypto-boost i sprawdzania fragmentacji / regulacji MSS w celu zwiększenia przepustowości VPN.

Po pierwsze, jeśli masz oprogramowanie układowe w wersji 5.10, możesz zapoznać się z tym artykułem, aby zwiększyć prędkość lub zaktualizować oprogramowanie do najnowszej wersji.

Spis treści

1) Rozwiązywanie problemów i zwiększanie przepustowości sieci WAN

1.1 Statystyki ruchu

1.2 Zarządzanie przepustowością

1.3 Funkcje UTM (usługi bezpieczeństwa)

2) Rozwiązywanie problemów i zwiększanie przepustowości VPN

2.1 Testowanie iPerf przez VPN

2.2 Korzystanie z niższego szyfrowania i uwierzytelniania

2.3 Korzystanie z polecenia Crypto-Boost

2.4 Sprawdzanie fragmentacji w sieci WAN

2.5 Dostosowanie MSS

1) Rozwiązywanie problemów i zwiększanie przepustowości sieci WAN

1.1 Statystyki ruchu

Przejdź do statystyk ruchu i usuń opcję "Zbieraj statystyki ze wszystkich usług UTM (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - pamiętaj , aby nacisnąć "Zastosuj" po odznaczeniu pola w każdej funkcji UTM:

Następnie przejdź do Monitor -> Statystyki ruchu -> Statystyki ruchu i odznacz pole "Zbieraj statystyki":

W zależności od natężenia ruchu w firewallu, powinieneś zauważyć niewielki wzrost przepustowości. W naszym środowisku testowym nie ma dużego ruchu, a zatem nie ma tak naprawdę wzrostu przepustowości.

1.2 Zarządzanie przepustowością

Możesz także wyłączyć zarządzanie przepustowością, które chroni przepustowość firewalla. Przejdź do Konfiguracja -> BWM i odznacz "Włącz BWM" i kliknij "Zastosuj":

W zależności od natężenia ruchu w firewallu, powinieneś zauważyć niewielki wzrost przepustowości. W naszym środowisku testowym nie ma dużego ruchu, a zatem nie ma tak naprawdę wzrostu przepustowości.

1.3 Funkcje UTM (usługi bezpieczeństwa)

Jeśli chcesz uzyskać większą przepustowość, możesz poświęcić usługi bezpieczeństwa (funkcje UTM), aby uzyskać większą przepustowość. W przypadku IDP (IPS) zwiększy to ogólną przepustowość, ponieważ skanuje cały ruch przychodzący i wychodzący.

Przejdź do Konfiguracja -> Usługa bezpieczeństwa -> IPS

Usuń zaznaczenie pola wyboru i kliknij "Zastosuj":

Wyłączenie Anty-Malware zwiększy prędkość pobierania, ponieważ Anty-Malware skanuje wszystkie pobierane pliki.

Przejdź do Konfiguracja -> Usługa bezpieczeństwa -> Anti-Malware

Odznacz pole wyboru i kliknij "Zastosuj":

Filtr reputacji i bezpieczeństwo poczty e-mail

Możesz także wyłączyć filtr reputacji (w sekcji Konfiguracja -> Usługa zabezpieczeń -> Filtr reputacji) i zabezpieczenia poczty e-mail.

App Patrol i filtr treści

Ponieważ te usługi zabezpieczeń są dołączone do reguł zapory sieciowej, nie ma przycisku "wyłącz". Musisz przejść do menu usług zabezpieczeń i upewnić się, że nie ma żadnych odniesień do tych usług zabezpieczeń:

Jeśli są tutaj odniesienia, oznacza to, że są one dołączone do reguły zapory. Następnie kliknij i wybierz profil zabezpieczeń i wybierz "Referencje":

Kliknąć na Security Policy Control Service #1:

Przejdź do reguł zapory, które mają dołączone profile, kliknij dwukrotnie regułę, odznacz profile w dolnej części okna, klikając "brak" , a następnie kliknij OK:

W ten sposób zobaczysz, że symbol Application Patrol zniknął z profilu w regule zapory:

2) Rozwiązywanie problemów i zwiększanie przepustowości VPN

Ta sekcja pokaże, jak poprawić wydajność tunelu VPN typu site-to-site (USG FLEX / ATP / VPN Series), używając testów iPerf, polecenia crypto-boost CLI i unikając fragmentacji MTU przy niższym rozmiarze pakietu, a także regulacji MSS.

Środowisko testowe wykorzystywało 2x ATP200 połączone w tej topologii:

Uzyskanie lokalnego adresu WAN z firewalla biurowego. Żaden z firewalli nie miał ruchu podczas wykonywania testów.

Uwaga! Przepustowość w arkuszu danych wykorzystuje standardowe pomiary testowe, które wykonują pomiary testowe z pakietami UDP. Ruch TCP jest bardziej wymagający dla firewalla, co oznacza, że aby uzyskać bardziej realistyczną przepustowość VPN, należy spojrzeć na gwiazdki (*):
"*3: Przepustowość VPN mierzona w oparciu o RFC 2544 (1424-bajtowe pakiety UDP)".

*Wskazówka, której używamy w organizacji wsparcia, polega na podzieleniu przepustowości arkusza danych przez 3, aby uzyskać realistyczną przepustowość dla zapory ogniowej

2.1 Testowanie iPerf przez VPN

Pobierz iPerf tutaj: https://iperf.fr/iperf-download.php

Zainstaluj go lub skopiuj plik .exe do CMD i uruchom polecenie po.

Możesz również postępować zgodnie z tym artykułem (dla połączenia bezprzewodowego):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Potrzebne są 2 komputery podłączone do sieci LAN każdej witryny i powinny one być w stanie pingować się nawzajem.

Wyłącz zaporę systemu Windows, jeśli komputer nie może pingować. Jeden komputer będzie działał jako "serwer", a drugi jako klient. Następnie testujesz prędkość (klient) do tego serwera, wykonując poniższe czynności.

2.1.1 Uruchom iPerf na komputerze serwera

2.1.1.1 Przeciągnij plik iperf.exe do cmd

2.1.1.2 Dla serwera, dodaj "-s" w linii poleceń

2.1.1.3 Naciśnij Enter

Przykład:

2.1.2 Uruchom iPerf na komputerze klienckim

2.2.2.1 Przeciągnij plik iperf.exe do cmd

2.2.2.2 Dodaj "iperf -c -w4M -l 65535 -P 10

Następnie uruchom to polecenie:

2.2.2.3 Naciśnij Enter

Przykład:

Zastrzeżenie! Ponieważ jest to testowe środowisko VPN za pośrednictwem sieci LAN, wyniki będą bardzo podobne, jeśli nie takie same.

2.2 Korzystanie z niższego szyfrowania i uwierzytelniania

Jest to wynik sieci VPN typu site-to-site z szyfrowaniem IKEv2 (tryb agresywny) AES128, SHA1:

Jest to wynik połączenia VPN typu site-to-site z IKEv1 (tryb agresywny) z szyfrowaniem DES i MD5:

Czasami poziom szyfrowania i uwierzytelniania odgrywa rolę w szybkości VPN. Na przykład korzystanie z AES256 jest wolniejsze niż korzystanie z 3DES, jednak bezpieczeństwo korzystania z 3DES jest mniejsze niż AES256.

2.3 Korzystanie z polecenia Crypto-Boost

W ZLD5.10 wprowadziliśmy pewne ulepszenia w celu zwiększenia przepustowości pojedynczej sesji IPSec TCP
- Dystrybucja pojedynczej sesji VPN do wielu procesorów zamiast do pojedynczego procesora.
- Zmiana kolejności pakietów

To ulepszenie jest domyślnie wyłączone.

Powód, dla którego domyślnie je wyłączamy: Potrzebujemy więcej czasu, aby wyjaśnić, czy dystrybucja sesji VPN na wiele rdzeni powoduje jakiekolwiek skutki dla innych naszych krytycznych uruchomionych procesów, czy nie. Jeśli nie, możemy włączyć tę funkcję w następnej wersji FW.

Ponieważ ulepszenie jest nadal w fazie oceny, nie przeprowadzamy jeszcze oficjalnych testów.

Jak włączyć/wyłączyć ulepszenie:

Aby włączyć ulepszenie za pomocą polecenia CLI, użyj:

Aby wyłączyć ulepszenie za pomocą polecenia CLI, użyj:

Tutaj znajdziesz sposób na wykonanie lokalnego testu w celu weryfikacji:

Topologia:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Oprogramowanie testowe: Iperf3

Testowy system operacyjny klient/serwer: Windows

Tutaj zobaczysz różnice w przepustowości pojedynczej sesji IPsec TCP:

Uruchomienie polecenia crypto-boost przy użyciu powyższych kroków, wyniki po uruchomieniu polecenia crypto-boost:

2.4 Sprawdzanie fragmentacji w sieci WAN

2.4.1 Użyj graficznego interfejsu użytkownika.

Przejdź do Diagnostyka -> Narzędzie sieciowe i ping 8.8.8.8 używając właściwego interfejsu WAN (w tym przypadku wan). Następnie wpisz opcję rozszerzenia -M do -s 1500.

Najpierw ping z rozmiarem pakietu 1500 (-M do -s 1500), a następnie 1492. Następnie zejdź w dół z wartością 10, aż znajdziesz pakiet "(obcięty)". Następnie należy zwiększyć wartość o 2, aż do ponownego znalezienia pofragmentowanego pakietu. Wcześniejsza wartość jest punktem krytycznym. W przypadku obciętego pakietu oznacza to, że pakiet nie musi być fragmentowany, a zatem może być wysłany z optymalnym MTU.

W powyższym przykładzie najlepszym punktem jest 1472, ponieważ 1472 nie jest pofragmentowany, ale 1474 jest.

2.4.2 Użycie CMD

użyj tego polecenia:

Zacznij od rozmiaru pakietu 1500 i zejdź do 1492, a następnie zmniejszaj o wartość 10 (1482 -> 1472 -> 1462 itd.), aż nie będzie już pofragmentowanych pakietów, a ping będzie odpowiadał. Następnie zwiększ wartość o 2, aż znajdziesz "słodki punkt", w którym pakiety nie są już pofragmentowane.

W tym przypadku powinniśmy ustawić wartość na 1342 + 28 = 1370.

ponieważ

MTU = MSS (1342 bajty w tym przykładzie) + nagłówek IP (20 bajtów) + nagłówek ICMP (8 bajtów)

Po dostosowaniu rozmiaru MTU na połączeniu WAN:

2.5 Dostosowanie MSS

W przeciwnym razie można spróbować ręcznie ustawić regulację MSS. Jest to metoda prób i błędów, najpierw wykonaj test z 1400, a następnie 1300. Jeśli uzyskasz poprawę w ustawieniu niestandardowego rozmiaru któregokolwiek z nich, spróbuj wykonać poniższe czynności:

Przykład 1: Czy uzyskujesz lepszą przepustowość przy użyciu 1300? Wypróbuj 1340, lepiej niż 1300? Użyj 1340.
Przykład 2: Lepsza przepustowość przy 1400? Wypróbuj 1360. Lepsza niż 1400? Jeśli nie, użyj 1400

Możesz również obliczyć MSS za pomocą testu ping z kroku 4:

Jeśli jesteś bardziej zainteresowany i chcesz dowiedzieć się więcej o tym, jak obliczyć rozmiary pakietów dla VPN, możesz zapoznać się z tym artykułem, który zainspirował część treści w tym artykule:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings