В этой статье рассказывается о том, как можно увеличить скорость и повысить пропускную способность Интернета и VPN с помощью Web GUI [USG FLEX/ATP/VPN Series]. В ней показано, как статистика трафика, управление полосой пропускания и функции UTM влияют на пропускную способность устройства. Кроме того, показано, как проводить iPerf-тестирование через VPN-туннель, а также использовать более низкое шифрование и аутентификацию, команду crypto-boost и проверку фрагментации/MSS-коррекцию для увеличения пропускной способности VPN.

Во-первых, если у вас установлена прошивка версии 5.10, вы можете обратиться к этой статье, чтобы увеличить скорость работы или обновить прошивку до последней версии.

Таблица содержания

1) Поиск и устранение неисправностей и увеличение пропускной способности глобальной сети

1.1 Статистика трафика

1.2 Управление пропускной способностью

1.3 Функции УТМ (службы безопасности)

2) Поиск и устранение неисправностей и увеличение пропускной способности VPN

2.1 Тестирование iPerf через VPN

2.2 Использование более низкого уровня шифрования и аутентификации

2.3 Использование команды Crypto-Boost

2.4 Проверка фрагментации в глобальной сети

2.5 Настройка MSS

1) Поиск и устранение неисправностей и увеличение пропускной способности глобальной сети

1.1 Статистика трафика

Зайдите в раздел Traffic Statistics и снимите флажок "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - не забудьте нажать кнопку "Apply" после снятия флажка для каждой функции UTM:

Затем перейдите в раздел Monitor -> Traffic Statistics -> Traffic Statistics и снимите там же флажок "Collect Statistics":

В зависимости от объема трафика на брандмауэре, вы должны увидеть небольшое увеличение пропускной способности. В нашей тестовой среде трафик невелик, поэтому увеличение пропускной способности не наблюдается.

1.2 Управление пропускной способностью

Вы также можете отключить управление полосой пропускания, которое защищает пропускную способность межсетевого экрана. Перейдите в раздел Configuration -> BWM, снимите флажок "Enable BWM" и нажмите кнопку "Apply":

В зависимости от объема трафика на брандмауэре должно наблюдаться небольшое увеличение пропускной способности. В нашей тестовой среде трафик невелик, поэтому увеличение пропускной способности не наблюдается.

1.3 Функции UTM (службы безопасности)

Если вам нужна большая пропускная способность, вы можете пожертвовать службами безопасности (функциями UTM), чтобы получить большую пропускную способность. Для IDP (IPS) это увеличит общую пропускную способность, поскольку он сканирует весь входящий и исходящий трафик.

Перейдите в меню Конфигурация -> Служба безопасности -> IPS

Снимите флажок и нажмите кнопку "Применить":

Отключение антивирусной программы приведет к увеличению скорости загрузки, так как антивирусная программа сканирует все загружаемые файлы.

Перейдите в раздел Конфигурация -> Служба безопасности -> Антивирус

Снимите флажок и нажмите кнопку "Применить":

Фильтр репутации и защита электронной почты

Вы также можете отключить фильтр репутации (в разделе Переход к конфигурации -> Служба безопасности -> Фильтр репутации) и защиту электронной почты

Патрулирование приложений и фильтр содержимого

Поскольку эти службы безопасности привязаны к правилам брандмауэра, "кнопка отключения" отсутствует. Необходимо зайти в меню службы безопасности и убедиться, что в нем нет ссылок на эти службы безопасности:

Если здесь есть ссылки, это означает, что она привязана к правилу брандмауэра. Затем щелкните и выберите профиль безопасности и нажмите кнопку "Ссылки":

Щелкните на службе управления политикой безопасности № 1:

Перейдите к правилам брандмауэра, к которым прикреплены профили, дважды щелкните на правиле, отмените выделение профилей в нижней части окна, выбрав "none" , а затем нажмите OK:

После этого вы увидите, что символ Application Patrol исчез из профиля правила брандмауэра:

2) Поиск и устранение неисправностей и увеличение пропускной способности VPN

В этом разделе мы рассмотрим, как повысить производительность VPN-туннеля между сайтами (USG FLEX / ATP / VPN Series), используя тестирование iPerf, команду crypto-boost CLI, избегая фрагментации MTU с помощью меньшего размера пакетов, а также регулируя MSS.

В тестовой среде использовались 2 ATP200, подключенные по данной топологии:

Получение локального WAN-адреса от офисного брандмауэра. Во время проведения тестов ни на одном из брандмауэров не было трафика.

Примечание! Пропускная способность в техническом паспорте указана с использованием стандартных для отрасли тестовых измерений, в которых для тестирования используются пакеты UDP. TCP-трафик более требователен к межсетевому экрану, поэтому для получения более реалистичной пропускной способности VPN необходимо смотреть на астериксы (*):
"*3: Пропускная способность VPN, измеренная на основе RFC 2544 (1 424-байтные UDP-пакеты)".

*Совет, который мы используем в службе поддержки, заключается в том, чтобы разделить указанную в таблице пропускную способность на 3, чтобы получить реалистичную пропускную способность для вашего межсетевого экрана.

2.1 Тестирование iPerf через VPN

Скачать iPerf можно здесь: https://iperf.fr/iperf-download.php

Установите его или скопируйте .exe-файл в CMD и выполните команду.

Также можно воспользоваться этой статьей (для беспроводного подключения):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Вам нужно 2 ПК, подключенных к локальной сети каждого сайта, и они должны иметь возможность пинговать друг друга.

Отключите брандмауэр Windows, если ПК не пингуется. Один ПК будет выступать в роли "сервера", а другой - в роли клиента. Затем вы тестируете скорость (клиента) до этого сервера, выполняя следующие действия.

2.1.1 Запустите iPerf на серверном ПК

2.1.1.1 Перетащите файл iperf.exe в cmd

2.1.1.2 Для сервера в командной строке добавить "-s"

So run this command: 
%%Path%% -s

2.1.1.3 Нажмите Enter

Пример:

2.1.2 Запуск iPerf на клиентском ПК

2.2.2.1 Перетащите файл iperf.exe в cmd

2.2.2.2 Добавить "iperf -c -w4M -l 65535 -P 10

Выполните эту команду:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Нажмите Enter

Пример:

Отказ от ответственности! Поскольку речь идет о тестовой среде VPN через сеть LAN, результаты будут очень похожими, если не одинаковыми.

2.2 Использование более низкого уровня шифрования и аутентификации

Это результат работы VPN site-to-site с IKEv2 (агрессивный режим) с шифрованием AES128, SHA1:

Это результат работы VPN site-to-site с IKEv1 (агрессивный режим) с шифрованием DES и MD5:

Иногда уровень шифрования и аутентификации играет роль в скорости VPN. Например, использование AES256 медленнее, чем использование 3DES, однако безопасность при использовании 3DES ниже, чем при использовании AES256.

2.3 Использование команды Crypto-Boost

В ZLD5.10 мы внесли некоторые усовершенствования для увеличения пропускной способности IPSec TCP для одного сеанса
- Распределение одного VPN-сессии между несколькими CPU вместо одного CPU
- Изменение порядка следования пакетов

По умолчанию это улучшение отключено.

Причина отключения по умолчанию: Нам необходимо время, чтобы выяснить, приводит ли распределение VPN-сессий по нескольким ядрам к каким-либо последствиям для других критически важных процессов или нет. Если нет, то мы можем включить его в следующей версии FW.

Поскольку данное усовершенствование находится в стадии оценки, мы пока не проводим официального тестирования.

Как включить/выключить улучшение:

Для включения улучшения командой CLI используйте:

Router(config)# crypto boost-tcp

Для отключения улучшения командой CLI используйте:

Router(config)#no crypto boost-tcp

Здесь показано, как можно провести локальный тест для проверки:

Топология:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2.

Тестовое программное обеспечение: Iperf3

Тестовая клиентская/серверная ОС: Windows

Здесь вы увидите различия в пропускной способности IPsec TCP для одной сессии:

Выполнение команды crypto-boost с помощью описанных выше шагов, результаты после выполнения команды crypto-boost:

Router(config)# crypto boost-tcp

2.4 Проверка фрагментации в глобальной сети

2.4.1 Используйте графический интерфейс Web GUI.

Перейдите в раздел Diagnostic -> Network Tool и выполните ping 8.8.8.8, используя правильный интерфейс WAN (в данном случае wan). Затем введите опцию расширения -M do -s 1500.

Сначала выполните ping с размером пакета 1500 (-M do -s 1500), затем 1492. Затем опускайтесь вниз со значением 10, пока не найдете пакет "(truncated)". Затем вы поднимаетесь на 2, пока снова не получите фрагментированный пакет. Значение до - это "золотая середина". Когда у вас есть усеченный пакет, это означает, что пакет не нуждается в фрагментации и поэтому может быть отправлен с оптимальным MTU.

В приведенном выше примере оптимальным значением является 1472, поскольку 1472 не фрагментируется, а 1474 фрагментируется.

2.4.2 Использование CMD

Используйте эту команду:

ping www.google.com -f -l 1500

Начните с размера пакета 1500 и опуститесь до 1492, затем уменьшайте значение на 10 (1482 -> 1472 -> 1462 и т.д.), пока у вас больше не будет фрагментированных пакетов и ping будет отвечать. Затем увеличиваем значение на 2 до тех пор, пока не будет найдена "золотая середина", где пакеты больше не фрагментируются.

В данном случае мы должны установить значение 1342 + 28 = 1370.

потому что

MTU = MSS (1342 байта в данном примере) + IP-заголовок (20 байт) + ICMP-заголовок (8 байт)

После настройки размера MTU на WAN-соединении:

2,5 MSS Adjustment

В противном случае можно попробовать вручную установить настройку MSS. Это метод проб и ошибок, проведите тест сначала с 1400, затем с 1300. Если вы получите улучшение, установив пользовательский размер любого из них, попробуйте выполнить следующие действия:

Пример 1: Вы получаете лучшую пропускную способность, используя 1300? Попробуйте 1340, лучше, чем 1300? Используйте 1340.
Пример 2: Лучше ли пропускная способность при использовании 1400? Попробуйте использовать 1360. Лучше, чем 1400? Если нет, то используйте 1400

Вы также можете рассчитать MSS, используя ping-тест из шага 4:

Если вы заинтересовались и хотите узнать больше о том, как рассчитать размер пакетов для VPN, вы можете взглянуть на эту статью, которая послужила источником некоторых материалов для этой статьи:

https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings