Güvenlik Duvarı - WAN ve VPN için Verimi Artırma / Hız Artışı

Bu makale size Web GUI [USG FLEX/ATP/VPN Serisi] kullanarak hızınızı nasıl artırabileceğinizi ve internet veriminizi ve VPN veriminizi nasıl artırabileceğinizi gösterecektir. Trafik istatistikleri, bant genişliği yönetimi ve UTM işlevlerinin cihazınızın verimini nasıl etkilediğini gösterir. Ayrıca, VPN tüneli üzerinden iPerf Testinin nasıl gerçekleştirileceğini ve VPN verimini artırmak için daha düşük şifreleme ve kimlik doğrulama, crypto-boost komutu ve kontrol parçalanması/MSS ayarlamasının nasıl kullanılacağını gösterir.

Öncelikle, 5.10 aygıt yazılımı sürümüne sahipseniz, hızınızı artırmak veya en son aygıt yazılımına yükseltmek için bu makaleye bakabilirsiniz.

Sorun Giderme ve WAN Verimini Artırma

1.1 Trafik İstatistikleri

Trafik İstatistiklerine gidin ve "Tüm UTM hizmetlerinden (Uygulama Devriyesi, İçerik Filtresi, Kötü Amaçlı Yazılımdan Koruma, İtibar Filtresi, IPS, E-posta Güvenliği, SSL Denetimi) istatistik topla" seçeneğini kaldırın - her bir UTM işlevindeki kutunun işaretini kaldırdıktan sonra "Uygula" d üğmesine basmayı unutmayın :

Ardından Monitör -> Trafik İstatistikleri -> Trafik İstatistikleri bölümüne gidin ve buradaki "İstatistikleri Topla" kutusunun işaretini kaldırın:

Güvenlik duvarındaki trafik miktarına bağlı olarak bant genişliğinde hafif bir artış görmeniz gerekir. Test ortamımız için çok fazla trafik yoktur ve bu nedenle iş hacminde gerçekten bir artış olmaz.

1.2 Bant Genişliği Yönetimi

Güvenlik duvarının bant genişliğini koruyan Bant Genişliği yönetimini de devre dışı bırakabilirsiniz. Yapılandırma -> BWM'ye gidin ve "BWM'yi Etkinleştir" seçeneğinin işaretini kaldırın ve "Uygula "ya tıklayın:

Güvenlik duvarındaki trafik miktarına bağlı olarak bant genişliğinde hafif bir artış görmeniz gerekir. Test ortamımız için çok fazla trafik yoktur ve bu nedenle iş hacminde gerçekten bir artış olmaz.

1.3 UTM İşlevleri (Güvenlik Hizmetleri)

Daha fazla verim istiyorsanız, daha fazla verim elde etmek için Güvenlik Hizmetlerinden (UTM işlevleri) fedakarlık edebilirsiniz. IDP (IPS) için bu, gelen ve giden tüm trafiği taradığı için genel veriminizi artıracaktır.

Yapılandırma -> Güvenlik Hizmeti -> IPS bölümüne gidin

Onay kutusundaki işareti kaldırın ve "Uygula "ya tıklayın:

Anti-Malware'i devre dışı bırakmak, Anti-malware indirdiğiniz tüm dosyaları taradığı için indirme hızınızı artıracaktır.

Yapılandırma -> Güvenlik Hizmeti -> Kötü Amaçlı Yazılımdan Koruma bölümüne gidin

Onay kutusundaki işareti kaldırın ve "Uygula "ya tıklayın:

İtibar Filtresi ve E-posta Güvenliği

Ayrıca İtibar Filtresini (Yapılandırma -> Güvenlik Hizmeti -> İtibar Filtresi altında) ve E-posta Güvenliğini devre dışı bırakabilirsiniz.

Uygulama Devriyesi ve İçerik Filtresi

Bu güvenlik hizmetleri güvenlik duvarı kurallarına bağlı olduğu için "devre dışı bırakma düğmesi" yoktur. Güvenlik Hizmeti Menülerine girmeniz ve bu güvenlik hizmetlerine herhangi bir referans olmadığından emin olmanız gerekir:

Burada referanslar varsa, bu bir güvenlik duvarı kuralına bağlı olduğu anlamına gelir. Ardından güvenlik profiline tıklayıp seçin ve "Referanslar "a basın:

Güvenlik İlkesi Kontrol Hizmeti #1'e tıklayın:

Profillerin ekli olduğu güvenlik duvarı kurallarına gidin, kurala çift tıklayın, pencerenin altındaki Profillerin seçimini "yok" seçeneğine tıklayarak kaldırın ve ardından Tamam'a tıklayın:

Bunu yaptığınızda artık Application Patrol (Uygulama Devriyesi) sembolünün güvenlik duvarı kuralındaki Profil'den gittiğini göreceksiniz:

Sorun Giderme ve VPN Verimini Artırma

Bu bölüm, iPerf testini, crypto-boost CLI komutunu kullanarak ve daha düşük paket boyutuyla MTU parçalanmasını ve MSS ayarlamasını önleyerek siteden siteye VPN tünelinizde (USG FLEX / ATP / VPN Serisi) performansı nasıl artıracağınızı gösterecektir.

Test ortamında bu topolojiye bağlı 2x ATP200 kullanılmıştır:

Ofis güvenlik duvarından yerel bir WAN adresi alınıyor. Testler yapılırken güvenlik duvarlarının hiçbirinde trafik yoktu.

Not! Veri sayfasındaki verim, test ölçümlerini UDP paketleriyle yapan endüstri standardı test ölçümlerini kullanmaktadır. TCP trafiği güvenlik duvarını daha fazla zorlar, bu da daha gerçekçi bir VPN verimi elde etmek için asteriks (*) değerlerine bakmanız gerektiği anlamına gelir:
"*3: RFC 2544 (1.424 baytlık UDP paketleri) temel alınarak ölçülen VPN verimi"

*Destek organizasyonunda kullandığımız bir ipucu, güvenlik duvarınız için gerçekçi bir verim elde etmek için veri sayfasının verimini 3'e bölmektir

2.1 VPN üzerinden iPerf Testi

iPerf'i buradan indirin: https://iperf.fr/iperf-download.php

Yükleyin veya .exe dosyasını CMD'nize kopyalayın ve ardından komutu çalıştırın.

Bu makaleyi de takip edebilirsiniz (kablosuz bağlantı için):

https://support.zyxel.eu/hc/en-us/articles/360017129620-How-to-check-wireless-speed-via-iPerf

Her sitenin LAN'ına bağlı 2 PC'ye ihtiyacınız var ve birbirlerine ping atabilmeliler.

Bilgisayar pinglenemiyorsa Windows güvenlik duvarını devre dışı bırakın. Bilgisayarlardan biri "sunucu", diğeri ise istemci olarak görev yapacaktır. Daha sonra aşağıdaki adımları izleyerek bu sunucuya giden hızı (istemci) test ediyorsunuz.

2.1.1 iPerf'i sunucu bilgisayarda çalıştırın

2.1.1.1 iperf.exe dosyasını cmd'ye sürükleyin

2.1.1.2 Sunucu için komut satırına "-s" ekleyin

So run this command: 
%%Path%% -s

2.1.1.3 Enter'a Basın

Örnek:

2.1.2 iPerf'i İstemci Bilgisayarda Çalıştırma

2.2.2.1 iperf.exe dosyasını cmd'ye sürükleyin

2.2.2.2 "iperf -c -w4M -l 65535 -P 10 ekleyin

Bu yüzden bu komutu çalıştırın:

%%Path%% iperf -c 192.168.10.33 -w4M -l 65535 -P 10

2.2.2.3 Enter'a Basın

Örnek:

Sorumluluk Reddi! Bu bir LAN ağı üzerinden bir test VPN ortamı olduğundan, sonuçlar aynı olmasa da çok benzer olacaktır.

2.2 Düşük Şifreleme ve Kimlik Doğrulama Kullanımı

Bu, IKEv2 (agresif mod) AES128, SHA1 şifrelemeli bir siteden siteye VPN'in sonucudur:

Bu, IKEv1 (agresif mod) DES ve MD5 şifrelemeli bir siteden siteye VPN'in sonucudur:

Bazen şifreleme ve kimlik doğrulama seviyesi VPN hızında rol oynar. Örneğin, AES256 kullanmak 3DES kullanmaktan daha yavaştır, ancak 3DES kullanımında AES256'ya göre daha az güvenlik vardır.

2.3 Crypto-Boost komutunu kullanma

ZLD5.10'da, IPSec TCP tek oturum verimini artırmak için bazı geliştirmeler yaptık
- Tek bir VPN oturumunu tek bir CPU yerine birden fazla CPU'ya dağıtma
- Paket sırasını yeniden düzenleyin

Bu geliştirme varsayılan olarak devre dışıdır.

Varsayılan olarak devre dışı bırakmamızın nedeni: VPN oturumunun birden fazla çekirdeğe dağıtılmasının çalışan diğer kritik işlemlerimiz üzerinde herhangi bir etkiye neden olup olmadığını netleştirmek için daha fazla zamana ihtiyacımız var. Eğer değilse, bir sonraki FW sürümünde bunu etkinleştirebiliriz.

Geliştirme hala değerlendirme aşamasında olduğundan, henüz resmi test yapmıyoruz.

Geliştirmenin nasıl etkinleştirileceği/devre dışı bırakılacağı:

Geliştirmeyi CLI komutuyla etkinleştirmek için şunu kullanın:

Router(config)# crypto boost-tcp

CLI komutu ile geliştirmeyi devre dışı bırakmak için kullanın:

Router(config)#no crypto boost-tcp

Burada doğrulamak için yerel testi nasıl yapabileceğinizi bulabilirsiniz:

Topoloji:

PC1 -- (LAN) ATP800-A (WAN) ----- IPSec VPN ----- (WAN) ATP800-B (LAN) -- PC2

Test Yazılımı: Iperf3

İstemci/Sunucu İşletim Sistemini Test Edin: Pencereler

Burada IPsec TCP tek oturum veriminin farklılıklarını göreceksiniz:

Yukarıdaki adımları kullanarak crypto-boost komutunu çalıştırdıktan sonraki sonuçlar:

Router(config)# crypto boost-tcp

2.4 WAN'da parçalanmayı kontrol edin

2.4.1 Web GUI kullanın.

Diagnostic -> Network Tool'a gidin ve doğru WAN arayüzünü (bu durumda wan) kullanarak 8.8.8.8'e ping atın. Ardından -M do -s 1500 uzantı seçeneğini yazın.

Önce 1500 paket boyutuyla ping atın (-M do -s 1500), sonra 1492. Sonra "(kesilmiş)" paketi bulana kadar 10 değeriyle aşağı inin. Sonra tekrar parçalanmış bir paket elde edene kadar 2'şer 2'şer yukarı çıkın. Önceki değer tatlı noktadır. Kesilmiş bir paketiniz olduğunda, paketin parçalanmasına gerek olmadığı ve bu nedenle en uygun MTU ile gönderilebileceği anlamına gelir.

Yukarıdaki örnekte, 1472 parçalanmadığı ancak 1474 parçalandığı için bizim için en uygun nokta 1472'dir.

2.4.2 CMD kullanın

bu komutu kullanın:

ping www.google.com -f -l 1500

Paket boyutu 1500 ile başlayın ve 1492'ye inin, ardından artık parçalanmış bir paketiniz kalmayana ve ping yanıt verene kadar 10 değer azaltın (1482 -> 1472 -> 1462 vb.). Ardından, paketlerin artık parçalanmadığı "tatlı noktayı" bulana kadar değeri 2 artırırsınız.

Bu durumda, değeri 1342 + 28 = 1370 olarak ayarlamalıyız.

çünkü

MTU = MSS (bu örnekte 1342 bayt) + IP başlığı (20 bayt) + ICMP başlığı (8 bayt)

WAN bağlantısında MTU boyutunu ayarladıktan sonra:
2.5 MSS Ayarlaması

Aksi takdirde MSS ayarını manuel olarak yapmayı deneyebilirsiniz. Bu bir deneme yanılma yöntemidir, testi önce 1400, sonra 1300 ile yapın. Bunlardan herhangi birinin özel boyutunu ayarlarken bir gelişme elde ederseniz, aşağıdakileri deneyin:

Örnek 1: 1300 kullanarak daha iyi verim elde ediyor musunuz? 1340'ı deneyin, 1300'den daha mı iyi? 1340'ı kullanın.
Örnek 2: 1400 kullanarak daha iyi verim elde ediyor musunuz? 1360'ı deneyin. 1400'den daha mı iyi? Değilse, 1400 kullanın

MSS'yi 4. adımdaki ping testini kullanarak da hesaplayabilirsiniz: