Valideer VPN-doorvoer naar een virtueel netwerk - Azure VPN Gateway (2023)

Met een VPN-gatewayverbinding kunt u een veilige, cross-premises verbinding tot stand brengen tussen uw virtuele netwerk binnen Azure en uw on-premises IT-infrastructuur.

In dit artikel wordt beschreven hoe u de netwerkdoorvoer van de on-premises resources naar een virtuele Azure-machine (VM) kunt valideren.

Overzicht

De VPN-gatewayverbinding bestaat uit de volgende onderdelen:

• On-premises VPN-apparaat (Bekijk een lijst metgevalideerde VPN-apparaten.)
• Openbaar internet
• Azure VPN-gateway
• Azure-VM

Het volgende diagram toont de logische connectiviteit van een on-premises netwerk met een virtueel Azure-netwerk via VPN.

Bereken de maximaal verwachte in-/uitgang

1. Bepaal de basislijndoorvoervereisten van uw toepassing.
2. Bepaal de doorvoerlimieten van uw Azure VPN-gateway. Zie voor hulp het gedeelte "Gateway-SKU's" vanOver VPN Gateway.
3. BepalenRichtlijnen voor doorvoer van Azure VM'svoor uw VM-grootte.
4. Bepaal de bandbreedte van uw internetprovider (ISP).
5. Bereken uw verwachte doorvoer door de minste bandbreedte van de VM, VPN Gateway of ISP te nemen; die wordt gemeten in megabits per seconde (/) gedeeld door acht (8).

Als uw berekende doorvoer niet voldoet aan de vereisten voor basislijndoorvoer van uw toepassing, moet u de bandbreedte vergroten van de resource die u als knelpunt hebt geïdentificeerd. Zie voor het wijzigen van de grootte van een Azure VPN GatewayEen gateway-SKU wijzigen. Zie voor het wijzigen van de grootte van een virtuele machinePas de grootte van een VM aan. Als u niet de verwachte internetbandbreedte ervaart, kunt u ook contact opnemen met uw ISP.

Deze validatie moet worden uitgevoerd tijdens daluren, omdat de verzadiging van de VPN-tunnel tijdens het testen geen nauwkeurige resultaten oplevert.

De tool die we gebruiken voor deze test is iPerf, dat werkt op zowel Windows als Linux en zowel client- als servermodi heeft. Het is beperkt tot 3 Gbps voor Windows VM's.

Deze tool voert geen lees-/schrijfbewerkingen naar schijf uit. Het produceert alleen zelf gegenereerd TCP-verkeer van het ene uiteinde naar het andere. Het genereert statistieken op basis van experimenten die de beschikbare bandbreedte tussen client- en serverknooppunten meten. Bij het testen tussen twee knooppunten fungeert het ene knooppunt als server en het andere knooppunt als client. Zodra deze test is voltooid, raden we u aan de rollen van de knooppunten om te keren om zowel de upload- als de downloaddoorvoer op beide knooppunten te testen.

iPerf downloaden

DownloadeniPerf. Zie voor detailsiPerf-documentatie.

Voer iPerf uit (iperf3.exe)

1. Schakel een NSG/ACL-regel in die het verkeer toestaat (voor het testen van openbare IP-adressen op Azure VM).

   See Also

   Wat is Azure Web Application Firewall op Azure Application Gateway? - Azure-webtoepassingsfirewallVWAN-architectuurontwerp op grote schaal - Azure Architecture Center5 manieren om kosten te besparen door .NET-apps uit te voeren op Azure | Azure-blog | Microsoft AzureIntroductie van Microsoft Fabric: het dataplatform voor het tijdperk van AI | Azure-blog | Microsoft Azure

2. Schakel op beide knooppunten een firewalluitzondering in voor poort 5001.

   Ramen:Voer de volgende opdracht uit als beheerder:

   netsh advfirewall firewall add rule name="Open Port 5001" dir=in action=/learn.microsoft.com/en-us/azure/vpn-gateway/allow protocol=TCP localport=5001

   Voer deze opdracht uit om de regel te verwijderen wanneer het testen is voltooid:

   netsh advfirewall firewall delete rule name="Open Port 5001" protocol=TCP localport=5001

   Azure-Linux:Azure Linux-installatiekopieën hebben toegestane firewalls. Als er een applicatie op een poort luistert, wordt het verkeer doorgelaten. Voor aangepaste installatie kopieën die zijn beveiligd, moeten poorten mogelijk expliciet worden geopend. Gemeenschappelijke Linux OS-layer firewalls omvatteniptables,ufw, offirewalld.

3. Ga op het serverknooppunt naar de map waar iperf3.exe is uitgepakt. Voer vervolgens iPerf uit in servermodus en stel het in om te luisteren op poort 5001 als de volgende opdrachten:

   cd c:\iperf-3.1.2-win65iperf3.exe -s -p 5001

   Opmerking

   Poort 5001 kan worden aangepast om rekening te houden met bepaalde firewallbeperkingen in uw omgeving.

4. Ga op het clientknooppunt naar de map waar iperf-tool is uitgepakt en voer vervolgens de volgende opdracht uit:

   iperf3.exe -c  -t 30 -p 5001 -P 32

   De client stuurt dertig seconden verkeer op poort 5001 naar de server. De vlag '-P' geeft aan dat we 32 gelijktijdige verbindingen maken met het serverknooppunt.

   Het volgende scherm toont de uitvoer van dit voorbeeld:

   

5. (OPTIONEEL) Voer deze opdracht uit om de testresultaten te behouden:

   iperf3.exe -c IPofTheServerToReach -t 30 -p 5001 -P 32 >> uitvoer.txt

6. Voer na het voltooien van de vorige stappen dezelfde stappen uit met de rollen omgedraaid, zodat het serverknooppunt nu het clientknooppunt wordt en vice versa.

Test VM's met Windows

Latte.exe op de VM's laden

Download de laatste versie vanLatte.exe

Overweeg om Latte.exe in een aparte map te plaatsen, zoalsc:\gereedschap

Sta Latte.exe toe via de Windows-firewall

Maak op de ontvanger een Toestaan-regel op de Windows Firewall om het Latte.exe-verkeer toe te staan. Het is het gemakkelijkst om het volledige Latte.exe-programma op naam toe te staan ​​in plaats van specifieke TCP-poorten inkomend toe te staan.

Laat Latte.exe op deze manier door de Windows Firewall

netsh advfirewall firewall add rule program=\latte.exe name="Latte" protocol=any dir=in action=/learn.microsoft.com/en-us/azure/vpn-gateway/allow enable=yes profile= ELK

Als u bijvoorbeeld latte.exe naar de map "c:\tools" hebt gekopieerd, is dit de opdracht

netsh advfirewall firewall regel toevoegen programma=c:\tools\latte.exe name="Latte" protocol=any dir=in action=/learn.microsoft.com/en-us/azure/vpn-gateway/allow enable=yes profiel =ELK

Voer latentietests uit

Start latte.exe op de ONTVANGER (uitvoeren vanuit CMD, niet vanuit PowerShell):

latte -a : -i

Ongeveer 65.000 iteraties zijn lang genoeg om representatieve resultaten te retourneren.

Elk beschikbaar poortnummer is prima.

Als de VM een IP-adres van 10.0.0.4 heeft, ziet het er zo uit

latte -c -a 10.0.0.4:5005 -i 65100

Start latte.exe op de SENDER (uitgevoerd vanuit CMD, niet vanuit PowerShell)

latte -c -a : -i

Het resulterende commando is hetzelfde als op de ontvanger, behalve met de toevoeging van "-c" om aan te geven dat dit de "client" of afzender is

latte -c -a 10.0.0.4:5005 -i 65100

Wacht op de resultaten. Afhankelijk van hoe ver de VM's uit elkaar staan, kan het enkele minuten duren om te voltooien. Overweeg om te beginnen met minder iteraties om te testen op succes voordat u langere tests uitvoert.

Test VM's met Linux

GebruikSokPerfom VM's te testen.

Installeer SockPerf op de VM's

Voer op de Linux VM's (zowel SENDER als RECEIVER) deze opdrachten uit om SockPerf op uw VM's voor te bereiden:

CentOS / RHEL - Installeer GIT en andere handige tools

sudo yum installeer gcc -y -qsudo yum installeer git -y -qsudo yum install gcc-c++ -ysudo yum installeer ncurses-devel -ysudo yum install -y automake

Ubuntu - Installeer GIT en andere handige tools

sudo apt-get install build-essential -ysudo apt-get install git -y -qsudo apt-get install -y autotools-devsudo apt-get install -y automake

Bas - allemaal

Van de bash-opdrachtregel (ervan uitgaande dat git is geïnstalleerd)

git kloon https://github.com/mellanox/sockperfcd sockperf/./autogen.sh./configure --prefix=

Maken is langzamer, kan enkele minuten duren

maken

Zorg dat de installatie snel gaat

sudo maken installeren

Voer SockPerf uit op de VM's

Voorbeeldopdrachten na installatie. Server/Ontvanger - gaat ervan uit dat het IP-adres van de server 10.0.0.4 is

sudo sockperf sr --tcp -i 10.0.0.4 -p 12345 --full-rtt

Client - gaat ervan uit dat het IP-adres van de server 10.0.0.4 is

sockperf pingpong -i 10.0.0.4 --tcp -m 1400 -t 101 -p 12345 --full-rtt

Met name analyse van traceringen van pakketopname (Wireshark/Network Monitor) die tijdens die tests parallel van client en server zijn verzameld, zal helpen bij het beoordelen van slechte prestaties. Deze sporen kunnen pakketverlies, hoge latentie, MTU-grootte omvatten. fragmentatie, TCP 0 Window, Out of Order-fragmenten, enzovoort.

Los problemen met langzaam kopiëren van bestanden op

Zelfs als de totale verwerkingscapaciteit beoordeeld met de vorige stappen (iPERF/NTTTCP/enz..) goed was, kunt u last hebben van langzame verwerking van bestanden wanneer u Windows Verkenner gebruikt of tijdens het slepen en neerzetten door een RDP-sessie. Dit probleem is normaal gesproken te wijten aan een of beide van de volgende factoren:

• Toepassingen voor het kopiëren van bestanden, zoals Windows Verkenner en RDP, gebruiken geen meerdere threads bij het kopiëren van bestanden. Gebruik voor betere prestaties een toepassing voor het kopiëren van bestanden met meerdere threads, zoalsRijkkopieom bestanden te kopiëren met behulp van 16 of 32 threads. Klik op om het threadnummer voor het kopiëren van bestanden in Richcopy te wijzigenActie>Kopieer opties>Bestand kopiëren.

  
  

  Opmerking

  Niet alle applicaties werken hetzelfde en niet alle applicaties/processen gebruiken alle threads. Als u de test uitvoert, zou u kunnen zien dat sommige threads leeg zijn en geen nauwkeurige doorvoerresultaten opleveren. Om de overdrachtprestaties van uw toepassingsbestanden te controleren, gebruikt u multi-thread door het aantal threads achtereenvolgens te verhogen of te verlagen om de optimale doorvoer van de toepassing of bestandsoverdracht.

• Onvoldoende lees-/schrijfsnelheid van VM-schijf. Voor meer informatie, zieProblemen met Azure Storage oplossen.

Externe interface van on-premises apparaat

Noemde de subnetten van on-premises bereiken die u wilt dat Azure bereikt via VPN op Local Network Gateway. Definieer tegelijkertijd de VNET-adresruimte in Azure naar het on-premises apparaat.

• Op route gebaseerde gateway: De beleids- of verkeerskiezer voor op routes gebaseerde VPN's zijn geconfigureerd als any-to-any (of jokertekens).

• Op beleid gebaseerde gateway: Op beleid gebaseerde VPN's versleutelen en sturen pakketten door IPsec-tunnels op basis van de combinaties van adresvoorvoegsels tussen uw on-premises netwerk en het Azure VNet. Het beleid (of Traffic Selector) wordt meestal gedefinieerd als een toegangslijst in de VPN-configuratie.

• Gebruik PolicyBasedTrafficSelectorverbindingen: ("UsePolicyBasedTrafficSelectors" naar $True op een verbinding configureert de Azure VPN-gateway om verbinding te maken met op beleid gebaseerde VPN-firewall op locatie. Als u PolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat uw VPN-apparaat de overeenkomende verkeerskiezers heeft gedefinieerd met alle combinaties van uw on-premises netwerk (lokale netwerkgateway) voorvoegsels naar en van de voorvoegsels van het virtuele Azure-netwerk, in plaats van een-op-een.

Onjuiste configuratie kan leiden tot frequente verbroken verbindingen binnen de tunnel, het wegvallen van pakketten, slechte doorvoer en latentie.

Controleer latentie

U kunt latentie controleren met behulp van de volgende hulpprogramma's:

• WinMTR
• TCPTraceroute
• pingEnpsing(Deze tools kunnen een goede schatting geven van RTT, maar ze kunnen niet in alle gevallen worden gebruikt.)

Als u een hoge latentiepiek opmerkt bij een van de hops voordat u de MS Network-backbone betreedt, wilt u misschien verder onderzoek doen met uw internetprovider.

Als er een grote, ongebruikelijke vertragingspiek wordt opgemerkt door hops binnen "msn.net", neem dan contact op met de ondersteuning van MS voor verder onderzoek.

Volgende stappen

Voor meer informatie of hulp, bekijk de volgende link:

• Microsoft-ondersteuning