Versionen im Vergleich

Alte Version 1

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Seiteneigenschaften


Description:

Dieser Artikel beschreibt spezielle Konfigurations-Parameter This article describes special configuration parameters in LANCOM Routernrouters/Central Site Gateways mit with LCOS, um den Aufbau von VPN-Verbindungen which can be used to optimize the connection setup of VPN connections (IKEv2) zu beschleunigen.

Hinweis

Die Standard-Werte für die im folgenden beschriebenen Parameter stellen die empfohlene Konfiguration dar. Führen Sie bei Änderungen an diesen Werten unbedingt simulierte Ausfalltests durch, um sicherzugehen, dass die Verbindungen weiterhin korrekt funktionieren.The default settings for the parameters described below are the recommended configuration settings. If you change these parameters, be sure to perform simulated failure tests, to ensure, that the connections are still functioning properly. 

Info
titleHinweis zur SkalierungNotes regarding scaling


An Ein IKEv2-Initiator hat einen has a Backoff-Timer, welcher dafür sorgt, dass bei einem Fehlversuch nicht direkt der nächste Aufbauversuch which ensures, that the next connection setup (IKE_SA_INIT) startet. does not start immediately after a failed attempt

Bei den folgenden VPN-Fehlern wird ein Backoff-Timer von of 30 Sekunden abzüglich/zuzüglich eines zufälligen Wertes zwischen 0 und 10 Sekunden angewandt. Nach mehreren Fehlversuchen steigt der Timer nicht anseconds plus/minus a random value between 0 and 10 seconds is applied after the following VPN errors. The timer does not increase after multiple failed connection attempts.

 ike_i_ike_key_mismatch
 ike_r_ike_key_mismatch
 ipsec_r_no_rule_matched_ids
 ipsec_i_no_proposal_matched
 ipsec_r_no_proposal_matched
 interface_i_connection_timeout_protocol
 interface_r_connection_timeout_protocol

...


Parameters for optimization:

Precalculation:

Für jede statisch konfigurierte IKEv2-Verbindung wird je nach Einstellung in der Verschlüsselung Depending on the encryption settings (Setup/VPN/IKEv2/Encryption/) ein oder auch mehrere Schlüssel vorausberechnet (sogenannte Precalculation)., one or multiple keys are precalculated (so called Precalculation) for each statically configured IKEv2 connection.

If additional keys should be kept available, this can be changed in the CLI path Sollen zusätzliche Schlüssel vorgehalten werden, kann dies in dem Konsolen-Pfad Setup/VPN/Isakmp/DH-Groups/Group-Config/ angepasst werden, indem dort für den Parameter Precalc-Target der gewünschte Wert gesetzt wird.  by setting the parameter Precalc-Target to the desired value.

Hinweis

Calculating additional keys takes more CPU ressources. Therefore this parameter has to be balanced with the value set for

Hinweis

Durch die Berechnung zusätzlicher Schlüssel werden mehr CPU-Ressourcen benötigt. Daher muss dieser Parameter auf den unter "Negotiation-Control" gesetzten Wert abgestimmt werden.


Negotiation-Control:

Die The Negotiation-Control steuert defines, wieviele IKEv2-Aushandlungen der how many IKEv2 connections can be set up by the IKEv2-Responder zeitgleich durchführen kannsimultaneously.

Wird in dem Konsolen-Pfad If the parameter Negotiation-Control in the CLI path Setup/VPN/ der Parameter Negotiation-Control von Normal auf Medium oder Fastgesetzt, können mehr Verbindungen gleichzeitig aufgebaut werden. Dies reduziert bei mehreren VPN-Verbindungen die Zeit, bis alle Verbindungen aufgebaut sind. is set from Normal to Medium or Fast, more connections can be set up simultaneously. When using a greater number of VPN connctions, this reduces the time, till all connections are established.     

Hinweis

Setting up a greater number of VPN connections simultaneously takes more CPU ressources. Therefore this parameter has to be balanced with the value set for "Precalculation"

Hinweis

Durch den gleichzeitigen Aufbau von mehr VPN-Verbindungen werden auch mehr CPU-Ressourcen benötigt. Daher muss dieser Parameter auf den unter "Precalculation" gesetzten Wert abgestimmt werden.


Backup-Delay:

Das The Backup-Delay gibt die Zeit in Sekunden an, bis der VRRP-Router in den Standby geht, wenn die verknüpfte Gegenstelle ausfällt. defines the time in seconds, until the VRRP router enters the Standby, when the connected remote site (WAN or VPN) fails.

The value for the Backup-Delay can be modified in the CLI path in dem Konsolen-Pfad Setup/WAN/Backup-Delay-Secondskann der Wert für das Backup-Delay angepasst werden. Ein höherer Wert verhindert ein unnötiges Schwenken des VRRP bei instabilen Verbindungen. Ein niedrigerer Wert veringert die Ausfallzeit der Verbindung. A higher value prevents unnecessary flapping of the VRRP with unstable connections. A lower value decreses the connection downtime