Viktigt meddelande: |
Den här artikeln visar hur du kan öka din hastighet och öka din internetgenomströmning och VPN-genomströmning med hjälp av Web GUI [USG FLEX / ATP / VPN Series]. Den visar hur trafikstatistik, bandbreddshantering och UTM-funktioner påverkar genomströmningen på din enhet. Dessutom visar den hur man utför iPerf-testning genom VPN-tunneln och använder lägre kryptering och autentisering, använder crypto-boost-kommando och kontrollerar fragmentering/MSS-justering för att öka VPN-genomströmningen.
Om du har firmwareversion 5.10 kan du först titta på den här artikeln för att öka hastigheten eller uppgradera till den senaste firmwareversionen.
Innehållsförteckning
1) Felsökning och öka WAN-genomströmningen
1.1 Trafikstatistik
1.2 Hantering av bandbredd
1.3 UTM-funktioner (säkerhetstjänster)
2) Felsökning och ökad VPN-genomströmning
2.1 iPerf-testning via VPN
2.2 Använda lägre kryptering och autentisering
2.3 Använda kommandot Crypto-Boost
2.4 Kontrollera fragmentering på WAN
2.5 Justering av MSS
1) Felsökning och ökning av WAN-genomströmning
1.1 Trafikstatistik
Gå till Traffic Statistics och ta bort "Collect statistics" från alla UTM-tjänster (App Patrol, Content Filter, Anti-Malware, Reputation Filter, IPS, Email Security, SSL Inspection) - kom ihåg att trycka på "Apply" efter att du har avmarkerat rutan på varje UTM-funktion:
Gå sedan till Monitor -> Traffic Statistics -> Traffic Statistics och avmarkera rutan "Collect Statistics" även där:
Beroende på mängden trafik i brandväggen bör du se en liten ökning av bandbredden. För vår testmiljö är det inte mycket trafik och därmed finns det inte riktigt en ökning av genomströmningen.
1.2 Hantering av bandbredd
Du kan också inaktivera bandbreddshanteringen som skyddar brandväggens bandbredd. Gå till Configuration -> BWM och avmarkera "Enable BWM" och klicka på "Apply":
Beroende på mängden trafik i brandväggen bör du se en liten ökning av bandbredden. För vår testmiljö är det inte mycket trafik och därmed finns det inte riktigt en ökning av genomströmningen.
1.3 UTM-funktioner (säkerhetstjänster)
Om du vill ha mer genomströmning kan du offra säkerhetstjänsterna (UTM-funktioner) för att få mer genomströmning. För IDP (IPS) kommer detta att öka din totala genomströmning eftersom den skannar all inkommande och utgående trafik.
Gå till Konfiguration -> Säkerhetstjänst -> IPS
Avmarkera kryssrutan och klicka på "Apply":
Om du inaktiverar Anti-Malware ökar nedladdningshastigheten eftersom Anti-Malware skannar alla filer som du laddar ned.
Gå till Konfiguration -> Säkerhetstjänst -> Anti-Malware
Avmarkera kryssrutan och klicka på "Verkställ":
Ryktesfilter och e-postsäkerhet
Du kan också inaktivera ryktesfiltret (under Gå till Konfiguration -> Säkerhetstjänst -> Ryktesfilter) och e-postsäkerheten
App-patrull och innehållsfilter
Eftersom dessa säkerhetstjänster är kopplade till brandväggsreglerna finns det ingen "inaktivera-knapp". Du måste gå in i menyerna för säkerhetstjänster och se till att det inte finns några referenser till dessa säkerhetstjänster:
Om det finns referenser här betyder det att den är kopplad till en brandväggsregel. Klicka och välj sedan på säkerhetsprofilen och tryck på "Referenser":
Klicka på Security Policy Control Service #1:
Gå till de brandväggsregler som har profilerna kopplade, dubbelklicka på regeln, avmarkera profilerna längst ned i fönstret genom att klicka på "none" och klicka sedan på ok:
Om du gör detta ser du nu att Application Patrol-symbolen har försvunnit från profilen på brandväggsregeln:
2) Felsökning & Öka VPN-genomströmningen
Det här avsnittet visar hur du förbättrar prestandan i din VPN-tunnel från plats till plats (USG FLEX / ATP / VPN-serien) med hjälp av iPerf-testning, CLI-kommandot crypto-boost, och hur du undviker MTU-fragmentering med lägre paketstorlek, samt MSS-justering.
Testmiljön använde 2x ATP200 anslutna i denna topologi:
Får en lokal WAN-adress från kontorets brandvägg. Ingen av brandväggarna hade trafik på sig när testerna utfördes.
Observera! Genomströmningen på databladet använder testmätningar av industristandard, som gör testmätningarna med UDP-paket. TCP-trafik är mer krävande för brandväggen, vilket innebär att för att få en mer realistisk VPN-genomströmning måste du titta på asterikerna (*):
"*3: VPN-genomströmning uppmätt baserat på RFC 2544 (1 424-byte UDP-paket)"
*Ett tips, som vi använder i supportorganisationen, är att dividera databladets genomströmning med 3 för att få en realistisk genomströmning för din brandvägg
2.1 iPerf-testning via VPN
Ladda ner iPerf här: https://iperf.fr/iperf-download.php
Installera den, eller kopiera .exe-filen till din CMD och kör kommandot efteråt.
Du kan också följa den här artikeln (för trådlös anslutning):
https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf
Du behöver 2 datorer som är anslutna till respektive anläggnings LAN och de ska kunna pinga varandra.
Inaktivera Windows brandvägg om datorn inte är pingbar. En dator kommer att fungera som "server" och den andra som klient. Sedan testar du hastigheten (klient) till den servern genom att följa stegen nedan.
2.1.1 Kör iPerf på serverdatorn
2.1.1.1 Dra filen iperf.exe till cmd
2.1.1.2 För servern, lägg till "-s" i kommandoraden
So run this command:
%%Path%% -s
2.1.1.3 Tryck på Enter
Exempel:
2.1.2 Kör iPerf på klientdatorn
2.2.2.1 Dra filen iperf.exe till cmd
2.2.2.2 Lägg till "iperf -c -w4M -l 65535 -P 10
Kör sedan det här kommandot:
%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10
2.2.2.3 Tryck på Enter
Exempel:
Ansvarsfriskrivning! Eftersom detta är en test-VPN-miljö via ett LAN-nätverk kommer resultaten att vara mycket likartade, om inte identiska.
2.2 Använda lägre kryptering och autentisering
Detta är resultatet av en site-to-site VPN med IKEv2 (aggressivt läge) AES128, SHA1-kryptering:
Detta är resultatet av en site-to-site VPN med IKEv1 (aggressivt läge) DES & MD5-kryptering:
Ibland spelar krypterings- och autentiseringsnivån en roll för VPN-hastigheten. AES256 är t.ex. långsammare än 3DES, men säkerheten är lägre med 3DES än med AES256.
2.3 Använda kommandot Crypto-Boost
I ZLD5.10 gjorde vi några förbättringar för att öka genomströmningen för IPSec TCP-enkelsessioner
- Distribuera den enskilda VPN-sessionen till flera processorer istället för en enda
- Ordna om paketordningen
Den här förbättringen är inaktiverad som standard.
Anledningen till att vi inaktiverar som standard: Vi behöver mer tid för att klargöra om fördelningen av VPN-sessioner över flera kärnor orsakar några effekter på andra kritiska processer som körs eller inte. Om så inte är fallet kan vi aktivera den i nästa FW-version.
Eftersom förbättringen fortfarande är under utvärdering gör vi inga officiella tester ännu.
Så här aktiverar/inaktiverar du förbättringen:
För att aktivera förbättringen med CLI-kommandot, använd:
Router(config)# crypto boost-tcp
För att inaktivera förbättringen med CLI-kommando, använd:
Router(config)#no crypto boost-tcp
Här kan du se hur du gör för att verifiera det lokala testet:
Topologi:
PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2
Testprogramvara: Iperf3
OS för testklient/server: Windows
Här kan du se skillnaderna i genomströmning för IPsec TCP vid enstaka sessioner:
Kör kommandot crypto-boost med hjälp av stegen ovan, resultaten efter att ha kört kommandot crypto-boost:
Router(config)# crypto boost-tcp
2.4 Kontrollera fragmentering på WAN
2.4.1 Använd webb-GUI.
Navigera till Diagnostic -> Network Tool och ping 8.8.8.8 med hjälp av rätt WAN-gränssnitt (i detta fall wan). Skriv sedan in tilläggsalternativet -M do -s 1500.
Pinga först med en paketstorlek på 1500 (-M do -s 1500), sedan 1492. Gå sedan ner med ett värde på 10, tills du hittar paketet "(truncated)". Sedan går du upp med 2 tills du har ett fragmenterat paket igen. Värdet innan är den bästa punkten. När du har ett trunkerat paket betyder det att paketet inte behöver fragmenteras och därför kan skickas med den optimala MTU.
I exemplet ovan är sweet spot för oss 1472 eftersom 1472 inte är fragmenterat men 1474 är det.
2.4.2 Använd CMD
Använd det här kommandot:
ping www.google.com -f -l 1500
Börja med paketstorlek 1500 och gå ner till 1492, minska sedan med ett värde av 10 (1482 -> 1472 -> 1462 etc.), tills du inte längre har ett fragmenterat paket och ping svarar. Sedan ökar du värdet med 2 tills du hittar "sweet spot" där paketen inte längre är fragmenterade.
I det här fallet bör vi sätta värdet till 1342 + 28 = 1370.
becaue
MTU = MSS (1342 byte i detta exempel) + IP-rubrik (20 byte) + ICMP-rubrik (8 byte)
Efter justering av MTU-storleken på WAN-anslutningen:
2.5 MSS justering
Annars kan du försöka ställa in MSS-justeringen manuellt. Detta är ett test och fel, gör testet först med 1400, sedan 1300. Om du får en förbättring när du ställer in en anpassad storlek på någon av dessa, prova följande nedan:
Exempel 1: Får du bättre genomströmning med 1300? Prova 1340, bättre än 1300? Använd 1340.
Exempel 2: Får du bättre genomströmning med 1400? Prova 1360. Bättre än 1400? Om inte, använd 1400
Du kan också beräkna MSS med hjälp av ping-testet från steg 4:
Om du är ytterligare intresserad och vill veta mer om hur man beräknar paketstorlekarna för VPN kan du ta en titt på den här artikeln som inspirerade en del av innehållet i den här artikeln:
https://muzso.hu/2009/05/17/how-to-determine-the-proper-mtu-size-with-icmp-pings
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.