Firewall - zvýšenie priepustnosti / zvýšenie rýchlosti pre WAN a VPN

Tento článok vám ukáže, ako môžete zvýšiť rýchlosť a zvýšiť priepustnosť internetu a priepustnosť siete VPN pomocou webového grafického rozhrania [USG FLEX/ATP/VPN Series]. Ukazuje, ako štatistiky prevádzky, správa šírky pásma a funkcie UTM ovplyvňujú priepustnosť vášho zariadenia. Okrem toho ukazuje, ako vykonávať testovanie iPerf cez tunel VPN a používať nižšiu enkrypciu a autentifikáciu, používať príkaz crypto-boost a kontrolovať fragmentáciu/úpravu MSS na zvýšenie priepustnosti VPN.

Po prvé, ak máte firmvér verzie 5.10, môžete si pozrieť tento článok na zvýšenie rýchlosti alebo aktualizovať na najnovší firmvér.

Riešenie problémov a zvýšenie priepustnosti siete WAN

1.1 Štatistika prevádzky

Prejdite do časti Traffic Statistics (Štatistiky prevádzky) a odstráňte položku "Collect statistics from all the UTM services (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection)" - po zrušení začiarknutia políčka pri každej funkcii UTM nezabudnite stlačiť tlačidlo "Apply":

Potom prejdite na položku Monitor -> Traffic Statistics -> Traffic Statistics a zrušte zaškrtnutie políčka "Collect Statistics" (Zbierať štatistiky):

V závislosti od množstva prevádzky vo firewalle by sa mala mierne zvýšiť šírka pásma. V našom testovacom prostredí nie je premávka veľká, a preto v skutočnosti nedochádza k zvýšeniu priepustnosti.

1.2 Správa šírky pásma

Môžete tiež vypnúť správu šírky pásma, ktorá chráni šírku pásma brány firewall. Prejdite do časti Konfigurácia -> BWM a zrušte začiarknutie políčka "Enable BWM" (Povoliť BWM) a kliknite na tlačidlo "Apply" (Použiť):

V závislosti od množstva prevádzky v bráne firewall by sa mala mierne zvýšiť šírka pásma. V našom testovacom prostredí nie je premávka veľká, a preto v skutočnosti nedošlo k zvýšeniu priepustnosti.

1.3 Funkcie UTM (bezpečnostné služby)

Ak chcete väčšiu priepustnosť, môžete obetovať bezpečnostné služby (funkcie UTM), aby ste získali väčšiu priepustnosť. V prípade IDP (IPS) sa tým zvýši celková priepustnosť, pretože skenuje všetku prichádzajúcu a odchádzajúcu prevádzku.

Prejdite do časti Konfigurácia -> Bezpečnostná služba -> IPS

Zrušte začiarknutie políčka a kliknite na tlačidlo "Použiť":

Vypnutím Anti-Malware sa zvýši rýchlosť sťahovania, pretože Anti-Malware skenuje všetky sťahované súbory.

Prejdite do časti Konfigurácia -> Bezpečnostná služba -> Anti-Malware

Zrušte začiarknutie políčka a kliknite na tlačidlo "Použiť":

Filter reputácie a zabezpečenie e-mailov

Môžete tiež vypnúť filter reputácie (v časti Konfigurácia -> Bezpečnostná služba -> Filter reputácie) a zabezpečenie e-mailu.

App Patrol a Content Filter

Keďže tieto bezpečnostné služby sú pripojené k pravidlám brány firewall, nie je k dispozícii žiadne tlačidlo "vypnúť". Musíte prejsť do ponuky bezpečnostných služieb a uistiť sa, že na tieto bezpečnostné služby nie sú žiadne odkazy:

Ak sú tu odkazy, znamená to, že je pripojená k pravidlu brány firewall. Potom kliknite a vyberte na bezpečnostný profil a stlačte tlačidlo "Referencie":

Kliknite na službu kontroly bezpečnostných politík č. 1:

Prejdite na pravidlá brány firewall, ktoré majú pripojené profily, dvakrát kliknite na pravidlo, zrušte výber profilov v dolnej časti okna kliknutím na "žiadne" a potom kliknite na tlačidlo OK:

Týmto postupom teraz uvidíte, že symbol aplikačnej hliadky z profilu na pravidle brány firewall zmizol:

Riešenie problémov a zvýšenie priepustnosti VPN

V tejto časti sa dozviete, ako zvýšiť výkon vášho tunela VPN medzi lokalitami (séria USG FLEX / ATP / VPN) pomocou testovania iPerf, príkazu crypto-boost CLI a zamedzenia fragmentácie MTU pomocou nižšej veľkosti paketov, ako aj úpravy MSS.

V testovacom prostredí sa použili 2x ATP200 pripojené v tejto topológii:

Získanie lokálnej adresy WAN z firewallu v kancelárii. Počas vykonávania testov nebola na žiadnom z firewallov prevádzka.

Poznámka! Priepustnosť na dátovom liste používa štandardné priemyselné testovacie merania, ktoré robia testovacie merania s paketmi UDP. Prevádzka TCP je na firewall náročnejšia, čo znamená, že na získanie reálnejšej priepustnosti VPN sa musíte pozrieť na asteriks (*):
"*3: Priepustnosť VPN meraná na základe RFC 2544 (1 424-bajtové pakety UDP)"

*Tip, ktorý používame v organizácii podpory, je vydeliť dátovú priepustnosť dátového hárku číslom 3, aby ste získali realistickú priepustnosť pre váš firewall

2.1 Testovanie iPerf prostredníctvom siete VPN

Aplikáciu iPerf si stiahnite tu: https://iperf.fr/iperf-download.php

Nainštalujte ho alebo skopírujte súbor .exe do CMD a potom spustite príkaz.

Môžete tiež postupovať podľa tohto článku (pre bezdrôtové pripojenie):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf.

Potrebujete 2 počítače pripojené k sieti LAN každej lokality a mali by byť schopné navzájom si pingovať.

Ak počítač nie je možné pingovať, vypnite bránu firewall systému Windows. Jeden počítač bude fungovať ako "server" a druhý ako klient. Potom testujete rýchlosť (klienta) na tomto serveri podľa nasledujúcich krokov.

2.1.1 Spustite program iPerf na serverovom PC

2.1.1.1 Potiahnite súbor iperf.exe do cmd

2.1.1.2 V prípade servera pridajte do príkazového riadku "-s"

So run this command: 
%%Path%% -s

2.1.1.3 Stlačte kláves Enter

Príklad:

2.1.2 Spustite iPerf na klientskom počítači

2.2.2.1 Potiahnite súbor iperf.exe do cmd

2.2.2.2 Pridajte "iperf -c -w4M -l 65535 -P 10

Spustite tento príkaz:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Stlačte kláves Enter

Príklad:

Zrieknutie sa zodpovednosti! Keďže ide o testovacie prostredie VPN prostredníctvom siete LAN, výsledky budú veľmi podobné, ak nie rovnaké.

2.2 Používanie nižšieho šifrovania a overovania

Toto je výsledok siete VPN typu site-to-site so šifrovaním IKEv2 (agresívny režim) AES128, SHA1:

Toto je výsledok siete VPN medzi lokalitami so šifrovaním IKEv1 (agresívny režim) DES a MD5:

Úroveň šifrovania a overovania niekedy zohráva úlohu pri rýchlosti VPN. Napríklad použitie AES256 je pomalšie ako použitie 3DES, avšak pri použití 3DES je menšie zabezpečenie ako pri AES256.

2.3 Používanie príkazu Crypto-Boost

V ZLD5.10 sme urobili niekoľko vylepšení na zvýšenie priepustnosti jednej relácie IPSec TCP
- Rozdelenie jednej relácie VPN na viacero procesorov namiesto jedného procesora
- Zmena poradia paketov

Toto vylepšenie je v predvolenom nastavení vypnuté.

Dôvod, prečo je predvolene vypnuté: Potrebujeme viac času na objasnenie toho, či rozdelenie relácie VPN na viac jadier spôsobuje nejaké účinky na ostatné naše kritické procesy, ktoré bežia, alebo nie. Ak nie, môžeme ho povoliť v nasledujúcej verzii FW.

Keďže toto vylepšenie je stále v štádiu hodnotenia, zatiaľ nevykonávame oficiálne testovanie.

Ako rozšírenie povoliť/zapnúť:

Ak chcete rozšírenie povoliť pomocou príkazu CLI, použite:

Router(config)# crypto boost-tcp

Ak chcete vylepšenie zakázať príkazom CLI, použite:

Router(config)#no crypto boost-tcp

Tu nájdete, ako môžete vykonať miestny test na overenie:

Topológia:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Testovací softvér: Iperf3

Testovací klientský/serverový operačný systém: Windows

Tu uvidíte rozdiely v priepustnosti jednotlivých relácií IPsec TCP:

Spustenie príkazu crypto-boost pomocou vyššie uvedených krokov, výsledky po spustení príkazu crypto-boost:

Router(config)# crypto boost-tcp

2.4 Kontrola fragmentácie v sieti WAN

2.4.1 Použite webové grafické rozhranie.

Prejdite do časti Diagnostic -> Network Tool (Diagnostický nástroj -> Sieťový nástroj) a vykonajte ping na adresu 8.8.8.8 pomocou správneho rozhrania WAN (v tomto prípade wan). Potom zadajte do rozšírenia možnosť -M do -s 1500.

Najprv ping s veľkosťou paketu 1500 (-M do -s 1500), potom 1492. Potom pokračujte smerom nadol s hodnotou 10, až kým nenájdete paket "(truncated)". Potom postupujte smerom nahor o 2, kým opäť nezískate fragmentovaný paket. Predchádzajúca hodnota je sladká bodka. Keď máte skrátený paket, znamená to, že paket nie je potrebné fragmentovať, a preto ho môžete poslať s optimálnou MTU.

V tomto príklade vyššie je pre nás sweet spot 1472, pretože 1472 nie je fragmentovaný, ale 1474 áno.

2.4.2 Použitie CMD

použite tento príkaz:

ping www.google.com -f -l 1500

Začnite s veľkosťou paketu 1500 a znížte ju na 1492, potom ju znížte o hodnotu 10 (1482 -> 1472 -> 1462 atď.), až kým už nebudete mať fragmentovaný paket a ping bude reagovať. Potom zvyšujte hodnotu o 2, kým nenájdete "sladký bod", kde už pakety nie sú fragmentované.

V tomto prípade by sme mali nastaviť hodnotu 1342 + 28 = 1370.

Pretože

MTU = MSS (1342 bajtov v tomto príklade) + hlavička IP (20 bajtov) + hlavička ICMP (8 bajtov)

Po nastavení veľkosti MTU na pripojení WAN:
2.5 Úprava MSS

V opačnom prípade sa môžete pokúsiť o manuálne nastavenie MSS. Ide o metódu pokus - omyl, najprv vykonajte test s hodnotou 1400, potom 1300. Ak sa vám podarí dosiahnuť zlepšenie pri nastavení vlastnej veľkosti niektorej z nich, vyskúšajte nasledujúce kroky:

Príklad 1: Dosiahnete lepšiu priepustnosť pri použití hodnoty 1300? Skúste 1340, je to lepšie ako 1300? Použite 1340.
Príklad 2: Dosiahnete lepšiu priepustnosť pri použití 1400? Skúste 1360. Lepšie ako 1400? Ak nie, použite 1400

MSS môžete vypočítať aj pomocou testu ping z kroku 4: