Beschreibung:
Dieser Artikel beschreibt spezielle Konfigurations-Parameter in LANCOM Routern/Central Site Gateways mit LCOS, um den Aufbau von VPN-Verbindungen (IKEv2) zu beschleunigen.
Die Standard-Werte für die im folgenden beschriebenen Parameter stellen die empfohlene Konfiguration dar. Bei Änderungen an diesen Werten sollten Sie durch simulierte Ausfall- und Aufbautests prüfen, dass die Verbindungen weiterhin korrekt funktionieren.
Hinweis zur Skalierung
Ein IKEv2-Initiator hat einen Backoff-Timer, welcher dafür sorgt, dass bei einem Fehlversuch nicht direkt der nächste Aufbauversuch startet.
Bei den folgenden VPN-Fehlern wird ein Backoff-Timer von 30 Sekunden abzüglich/zuzüglich eines zufälligen Wertes zwischen 0 und 10 Sekunden angewandt. Nach mehreren Fehlversuchen steigt der Timer nicht an.
ike_i_ike_key_mismatch
ike_r_ike_key_mismatch
ipsec_r_no_rule_matched_ids
ipsec_i_no_proposal_matched
ipsec_r_no_proposal_matched
interface_i_connection_timeout_protocol
interface_r_connection_timeout_protocol
Parameter zur Optimierung:
Precalculation:
Für jede statisch konfigurierte IKEv2-Verbindung wird je nach Einstellung in der Tabelle Verschlüsselung (Setup/VPN/IKEv2/Encryption/) ein Schlüssel vorausberechnet.
Sollen zusätzliche Schlüssel vorgehalten werden, kann dies in dem Konsolen-Pfad Setup/VPN/Isakmp/DH-Groups/Group-Config/ angepasst werden, indem dort für den Parameter Precalc-Target der gewünschte Wert gesetzt wird.
Durch die Berechnung zusätzlicher Schlüssel werden mehr CPU-Ressourcen benötigt.
Negotiation-Control:
Die Negotiation-Control steuert, wie viele IKEv2 Aushandlungen der IKEv2 Responder zeitgleich durchführen kann.
Ein Umstellen der Setup/VPN/Negotiation-Control von Normal auf Medium oder Fast lässt mehr Verbindungen zu, sodass VPN-Verbindungen schneller aufgebaut werden können.
Im Gegenzug kostet dies mehr CPU-Zeit. Das Feature muss zusammen mit der DH-Precalculation gesehen werden.
Backup-Delay:
Das unter /Setup/WAN/Backup-Delay-Seconds konfigurierbare Wert gibt an wie lange das VRRP wartet, bevor es in den Standy geht, sollte die verknüpfte Gegenstelle ausfallen.
Ziel ist es ein unnötiges Schwenken des VRRPs zu verhindert, wenn die Internet-/VPN-Verbindung flappt.
Eine Verringern vom Timer verkürzt hingegen die Ausfallzeit bei Totalausfall der Verbindung.