Versionen im Vergleich

Alte Version 1

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Hinweis

Die Standard-Werte für die im folgenden beschriebenen Parameter stellen die empfohlene Konfiguration dar. Bei Führen Sie bei Änderungen an diesen Werten sollten Sie durch simulierte Ausfall- und Aufbautests prüfenunbedingt simulierte Ausfalltests durch, um sicherzugehen, dass die Verbindungen weiterhin korrekt funktionieren.

Info
titleHinweis Hinweise zur Skalierung


Ein IKEv2-Initiator hat einen Backoff-Timer, welcher dafür sorgt, dass bei einem Fehlversuch nicht direkt der nächste Aufbauversuch (IKE_SA_INIT) startet.

Bei den folgenden VPN-Fehlern wird ein Backoff-Timer von 30 Sekunden angewandt (+/- ein zufälliger Wert zwischen 1 abzüglich/zuzüglich eines zufälligen Wertes zwischen 0 und 10 Sekunden) angewandt. Bei Nach mehreren Fehlversuchen steigt der Timer nicht an.

 ike_i_ike_key_mismatch
 ike_r_ike_key_mismatch
 ipsec_r_no_rule_matched_ids
 ipsec_i_no_proposal_matched
 ipsec_r_no_proposal_matched
 interface_i_connection_timeout_protocol
 interface_r_connection_timeout_protocol

Voraussetzungen:

...


Parameter zur Optimierung:

Precalculation:

Für jede statisch konfigurierte IKEv2-Verbindung wird je nach Einstellung in der Verschlüsselung (Setup/VPN/IKEv2/Encryption/) ein oder auch mehrere Schlüssel vorausberechnet (sogenannte Precalculation).

Sollen zusätzliche Schlüssel vorgehalten werden, kann dies in dem Konsolen-Pfad Setup/VPN/Isakmp/DH-Groups/Group-Config/ angepasst werden, indem dort für den Parameter Precalc-Target der gewünschte Wert gesetzt wird. 

Hinweis

Durch die Berechnung zusätzlicher Schlüssel werden mehr CPU-Ressourcen benötigt. Daher muss dieser Parameter auf den unter "Negotiation-Control" gesetzten Wert abgestimmt werden.


Negotiation-Control:

Die Negotiation-Control steuert, wieviele IKEv2-Aushandlungen der IKEv2-Responder zeitgleich durchführen kann.

Wird in dem Konsolen-Pfad Setup/VPN/ der Parameter Negotiation-Control von Normal auf Medium oder Fastgesetzt, können mehr Verbindungen gleichzeitig aufgebaut werden. Dies reduziert bei mehreren VPN-Verbindungen die Zeit, bis alle Verbindungen aufgebaut sind.

Hinweis

Durch den gleichzeitigen Aufbau von mehr VPN-Verbindungen werden auch mehr CPU-Ressourcen benötigt. Daher muss dieser Parameter auf den unter "Precalculation" gesetzten Wert abgestimmt werden.


Backup-Delay:

Das Backup-Delay gibt die Zeit in Sekunden an, bis der VRRP-Router in den Standby geht, wenn die verknüpfte Gegenstelle (WAN oder VPN) ausfällt.

In dem Konsolen-Pfad Setup/WAN/Backup-Delay-Seconds kann der Wert für das Backup-Delay angepasst werden. Ein höherer Wert verhindert ein unnötiges Schwenken des VRRP bei instabilen Verbindungen. Ein niedrigerer Wert veringert die Ausfallzeit der Verbindung