Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 5 Nächste Version anzeigen »


Beschreibung:

Dieser Artikel beschreibt spezielle Konfigurations-Parameter in LANCOM Routern/Central Site Gateways mit LCOS, um den Aufbau von VPN-Verbindungen (IKEv2) zu beschleunigen.

Die Standard-Werte für die im folgenden beschriebenen Parameter stellen die empfohlene Konfiguration dar. Führen Sie bei Änderungen an diesen Werten unbedingt simulierte Ausfall- und Aufbautests durch, um sicherzugehen, dass die Verbindungen weiterhin korrekt funktionieren.

Hinweis zur Skalierung


Ein IKEv2-Initiator hat einen Backoff-Timer, welcher dafür sorgt, dass bei einem Fehlversuch nicht direkt der nächste Aufbauversuch startet.

Bei den folgenden VPN-Fehlern wird ein Backoff-Timer von 30 Sekunden abzüglich/zuzüglich eines zufälligen Wertes zwischen 0 und 10 Sekunden angewandt. Nach mehreren Fehlversuchen steigt der Timer nicht an.

 ike_i_ike_key_mismatch
 ike_r_ike_key_mismatch
 ipsec_r_no_rule_matched_ids
 ipsec_i_no_proposal_matched
 ipsec_r_no_proposal_matched
 interface_i_connection_timeout_protocol
 interface_r_connection_timeout_protocol


Parameter zur Optimierung:

Precalculation:

Für jede statisch konfigurierte IKEv2-Verbindung wird je nach Einstellung in der Verschlüsselung (Setup/VPN/IKEv2/Encryption/) ein Schlüssel vorausberechnet (sogenannte Precalculation).

Sollen zusätzliche Schlüssel vorgehalten werden, kann dies in dem Konsolen-Pfad Setup/VPN/Isakmp/DH-Groups/Group-Config/ angepasst werden, indem dort für den Parameter Precalc-Target der gewünschte Wert gesetzt wird. 

Durch die Berechnung zusätzlicher Schlüssel werden mehr CPU-Ressourcen benötigt. Daher muss dieser Parameter auf den unter "Negotiation-Control" gesetzten Wert abgestimmt werden.


Negotiation-Control:

Die Negotiation-Control steuert, wieviele IKEv2-Aushandlungen der IKEv2-Responder zeitgleich durchführen kann.

Wird in dem Konsolen-Pfad Setup/VPN/ der Parameter Negotiation-Control von Normal auf Medium oder Fast gesetzt, können mehr Verbindungen gleichzeitig aufgebaut werden. Dies reduziert bei mehreren VPN-Verbindungen die Zeit, bis alle Verbindungen aufgebaut sind.

Durch den gleichzeitigen Aufbau von mehr VPN-Verbindungen werden auch mehr CPU-Ressourcen benötigt. Daher muss dieser Parameter auf den unter "Precalculation" gesetzten Wert abgestimmt werden.


Backup-Delay:

Das Backup-Delay gibt die Zeit in Sekunden an, bis der VRRP-Router in den Standby geht, wenn die verknüpfte Gegenstelle ausfällt.

in dem Konsolen-Pfad Setup/WAN/Backup-Delay-Seconds kann der Wert angepasst werden. Ein höherer Wert verhindert ein unnötiges Schwenken des VRRP bei instabilen Verbindungen. Ein niedrigerer Wert veringert die Ausfallzeit der Verbindung

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH