Acest articol vă va arăta cum vă puteți crește viteza și cum vă puteți mări debitul de internet și debitul VPN cu ajutorul interfeței grafice web [USG FLEX/ATP/VPN Series]. Acesta arată modul în care statisticile de trafic, gestionarea lățimii de bandă și funcțiile UTM afectează debitul dispozitivului dumneavoastră. În plus, arată cum să efectuați testarea iPerf prin tunelul VPN și cum să folosiți o criptare și o autentificare mai mică, să folosiți comanda crypto-boost și să verificați fragmentarea/reglarea MSS pentru a crește debitul VPN.

În primul rând, dacă aveți versiunea de firmware 5.10, puteți consulta acest articol pentru a vă crește viteza sau pentru a face upgrade la cel mai recent firmware.

Tabelul de conținut

1) Depanarea și creșterea debitului WAN

1.1 Statistici de trafic

1.2 Managementul lățimii de bandă

1.3 Funcțiile UTM (servicii de securitate)

2) Rezolvarea problemelor și creșterea debitului VPN

2.1 Testarea iPerf prin VPN

2.2 Utilizarea unei criptări și a unei autentificări mai mici

2.3 Utilizarea comenzii Crypto-Boost

2.4 Verificarea fragmentării pe WAN

2.5 Ajustarea MSS

1) Rezolvarea problemelor și creșterea debitului WAN

1.1 Statistici de trafic

Accesați Traffic Statistics (Statistici de trafic) și eliminați "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - nu uitați să apăsați "Apply" (Aplicați) după ce ați debifat căsuța de la fiecare funcție UTM:

Apoi mergeți la Monitor -> Traffic Statistics -> Traffic Statistics și debifați și acolo căsuța "Collect Statistics":

În funcție de volumul de trafic din firewall, ar trebui să vedeți o ușoară creștere a lățimii de bandă. Pentru mediul nostru de testare, nu există mult trafic și, prin urmare, nu există cu adevărat o creștere a debitului.

1.2 Gestionarea lățimii de bandă

De asemenea, puteți dezactiva Managementul lățimii de bandă, care protejează lățimea de bandă a firewall-ului. Mergeți la Configuration -> BWM (Configurație -> BWM) și debifați "Enable BWM" (Activare BWM) și faceți clic pe "Apply" (Aplicație):

În funcție de volumul de trafic din firewall, ar trebui să vedeți o ușoară creștere a lățimii de bandă. Pentru mediul nostru de testare, nu există mult trafic și, prin urmare, nu există cu adevărat o creștere a debitului.

1.3 Funcțiile UTM (servicii de securitate)

Dacă doriți un debit mai mare, puteți sacrifica Serviciile de securitate (funcțiile UTM) pentru a obține un debit mai mare. În cazul IDP (IPS), acest lucru va crește debitul global, deoarece scanează tot traficul de intrare și de ieșire.

Accesați Configuration -> Security Service -> IPS (Configurație -> Serviciu de securitate -> IPS)

Debifați căsuța de selectare și faceți clic pe "Apply" (Aplicație):

Dezactivarea serviciului Anti-Malware va crește viteza de descărcare, deoarece acesta scanează toate fișierele pe care le descărcați.

Mergeți la Configuration -> Security Service -> Anti-Malware

Debifați caseta de selectare și faceți clic pe "Apply":

Filtru de reputație și securitate e-mail

De asemenea, puteți dezactiva Filtrul de reputație (în secțiunea Mergeți la Configurare -> Serviciu de securitate -> Filtru de reputație) și Securitatea e-mailurilor.

App Patrol & Content Filter (Patrulă de aplicații și filtru de conținut)

Deoarece aceste servicii de securitate sunt atașate la regulile de firewall, nu există un "buton de dezactivare". Trebuie să intrați în meniurile serviciilor de securitate și să vă asigurați că nu există referințe la aceste servicii de securitate:

Dacă există referințe aici, înseamnă că este atașat la o regulă de firewall. Apoi faceți clic și selectați profilul de securitate și apăsați "References" (Referințe):

Faceți clic pe Security Policy Control Service #1:

Mergeți la regulile de firewall care au profilele atașate, faceți dublu clic pe regulă, deselectați profilele din partea de jos a ferestrei făcând clic pe "niciunul" și apoi faceți clic pe OK:

În acest fel, veți vedea că simbolul Application Patrol a dispărut din profilul de pe regula de firewall:

2) Rezolvarea problemelor și creșterea debitului VPN

Această secțiune va arăta cum să îmbunătățiți performanța tunelului VPN de la un site la altul (USG FLEX / ATP / VPN Series), utilizând testarea iPerf, comanda CLI crypto-boost și evitarea fragmentării MTU cu o dimensiune mai mică a pachetelor, precum și ajustarea MSS.

Mediul de testare a utilizat 2x ATP200 conectate în această topologie:

Obținerea unei adrese WAN locale de la firewall-ul de la birou. Niciunul dintre firewall-uri nu a avut trafic pe el în timpul efectuării testelor.

Notă! Debitul din fișa tehnică folosește măsurători de testare standard din industrie, care efectuează măsurătorile de testare cu pachete UDP. Traficul TCP este mai solicitant pentru firewall, ceea ce înseamnă că, pentru a obține un debit VPN mai realist, trebuie să vă uitați la asteriks (*):
"*3: Debitul VPN măsurat pe baza RFC 2544 (pachete UDP de 1.424 de octeți)"

*Un sfat, pe care îl folosim în cadrul organizației de asistență, este să împărțiți debitul din fișa tehnică la 3 pentru a obține un debit realist pentru firewall-ul dvs.

2.1 Testarea iPerf prin VPN

Descărcați iPerf de aici: https://iperf.fr/iperf-download.php

Instalați-l sau copiați fișierul .exe în CMD și rulați comanda după.

De asemenea, puteți urma acest articol (pentru conexiunea wireless):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Aveți nevoie de 2 PC-uri conectate la rețeaua locală a fiecărui site și ar trebui să se poată ping-ui reciproc.

Dezactivați firewall-ul Windows dacă PC-ul nu poate fi pinguit. Unul dintre PC-uri va acționa ca "server", iar celălalt va acționa ca și client. Apoi, testați viteza (clientul) către acel server urmând pașii de mai jos.

2.1.1 Rulați iPerf pe PC-ul server

2.1.1.1.1 Trageți fișierul iperf.exe în cmd

2.1.1.1.2 Pentru server, adăugați "-s" în linia de comandă

So run this command: 
%%Path%% -s

2.1.1.3 Apăsați Enter

Exemplu:

2.1.2 Rulați iPerf pe PC-ul client

2.2.2.2.1 Trageți fișierul iperf.exe în cmd

2.2.2.2.2 Adăugați "iperf -c -w4M -l 65535 -P 10

Deci, rulați această comandă:

2.2.2.2.3 Apăsați Enter

Exemplu:

Disclaimer! Deoarece acesta este un mediu VPN de testare prin intermediul unei rețele LAN, rezultatele vor fi foarte asemănătoare, dacă nu chiar identice.

2.2 Utilizarea unui nivel mai scăzut de criptare și autentificare

Acesta este rezultatul unei rețele VPN de la un site la altul cu criptare IKEv2 (mod agresiv) AES128, SHA1:

Acesta este rezultatul unei rețele VPN site-la-sediu cu criptare IKEv1 (mod agresiv) DES și MD5:

Uneori, nivelul de criptare și autentificare joacă un rol în viteza VPN. De exemplu, utilizarea AES256 este mai lentă decât utilizarea 3DES, însă utilizarea 3DES oferă mai puțină securitate decât AES256.

2.3 Utilizarea comenzii Crypto-Boost

În ZLD5.10, am făcut câteva îmbunătățiri pentru a crește debitul sesiunii unice IPSec TCP
- Distribuirea sesiunii VPN unice pe mai multe unități centrale de procesare în loc de o singură unitate centrală de procesare
- Reorganizarea ordinii pachetelor

Această îmbunătățire este dezactivată în mod implicit.

Motivul pentru care îl dezactivăm în mod implicit: Avem nevoie de mai mult timp pentru a clarifica dacă distribuția sesiunilor VPN pe mai multe nuclee provoacă sau nu efecte asupra altor procese critice care rulează. Dacă nu, este posibil să o activăm în următoarea versiune FW.

Deoarece îmbunătățirea este încă în curs de evaluare, nu facem încă teste oficiale.

Cum se activează/dezactivează îmbunătățirea:

Pentru a activa îmbunătățirea prin comanda CLI, utilizați:

Pentru a dezactiva îmbunătățirea prin comanda CLI, folosiți: dpppppp_pppppp:

Aici găsiți cum puteți face testul local pentru verificare:

Topologie:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Software de testare: Iperf3

Sistem de operare client/server de testare: Windows

Aici veți vedea diferențele de randament al sesiunii unice IPsec TCP:

rularea comenzii crypto-boost folosind pașii de mai sus, rezultatele după rularea comenzii crypto-boost:

2.4 Verificați fragmentarea pe WAN

2.4.1 Utilizați GUI Web.

Navigați la Diagnostic -> Network Tool (Diagnostic -> Instrument de rețea) și efectuați un ping 8.8.8.8.8 utilizând interfața WAN corectă (în acest caz, wan). Apoi tastați opțiunea de extensie -M do -s 1500.

Mai întâi efectuați un ping cu o dimensiune a pachetului de 1500 (-M do -s 1500), apoi 1492. Apoi mergeți în jos cu o valoare de 10, până când găsiți pachetul "(trunchiat)". Apoi urcați cu 2 până când aveți din nou un pachet fragmentat. Valoarea de dinainte este punctul ideal. Atunci când aveți un pachet trunchiat înseamnă că pachetul nu trebuie fragmentat și, prin urmare, poate fi trimis cu MTU optim.

În exemplul de mai sus, punctul optim pentru noi este 1472, deoarece 1472 nu este fragmentat, dar 1474 este.

2.4.2 Utilizați CMD

utilizați această comandă:

Începeți cu dimensiunea pachetului 1500 și coborâți la 1492, apoi scădeți cu o valoare de 10 (1482 -> 1472 -> 1462 etc.), până când nu mai aveți un pachet fragmentat și ping răspunde. Apoi creșteți valoarea cu 2 până când găsiți "punctul ideal" în care pachetele nu mai sunt fragmentate.

În acest caz, ar trebui să stabilim valoarea la 1342 + 28 = 1370.

pentru că

MTU = MSS (1342 octeți în acest exemplu) + antet IP (20 octeți) + antet ICMP (8 octeți)

După ajustarea dimensiunii MTU pe conexiunea WAN:

2.5 Ajustarea MSS

În caz contrar, puteți încerca să setați manual ajustarea MSS. Aceasta este o încercare și eroare, faceți mai întâi testul cu 1400, apoi cu 1300. Dacă obțineți o îmbunătățire la setarea unei mărimi personalizate a oricăruia dintre acestea, încercați cele de mai jos:

Exemplul 1: Obțineți un randament mai bun folosind 1300? Încercați 1340, mai bine decât 1300? Utilizați 1340.
Exemplul 2: Obțineți un randament mai bun folosind 1400? Încercați 1360. Mai bine decât 1400? Dacă nu, utilizați 1400

De asemenea, puteți calcula MSS folosind testul ping de la pasul 4:

Dacă sunteți interesat în continuare și doriți să aflați mai multe despre cum să calculați dimensiunile pachetelor pentru VPN, puteți arunca o privire la acest articol care a inspirat o parte din conținutul acestui articol:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings