مشاركة عبر

كيفية التحقق من معدل نقل VPN إلى شبكة ظاهرية

  • مقالة

يتيح لك اتصال بوابة الشبكة الظاهرية الخاصة إنشاء اتصال آمن وفي أماكن متعددة بين الشبكة الافتراضية داخل Azure والبنية التحتية المحلية الخاصة بك في مجال تكنولوجيا المعلومات.

توضح هذه المقالة كيفية التحقق من صحة معدل نقل الشبكة من الموارد المحلية إلى جهاز ظاهري Azure (VM).

إشعار

تهدف هذه المقالة إلى المساعدة في تشخيص المشاكل الشائعة وإصلاحها. إذا لم تتمكن من حل المشكلة باستخدام المعلومات التالية، فاتصل بالدعم.

نظرة عامة

يتضمن اتصال بوابة VPN المكونات التالية:

يوضح الرسم التخطيطي التالي الاتصال المنطقي لشبكة محلية بشبكة Azure الظاهرية من خلال VPN.

الاتصال المنطقي لشبكة العملاء بشبكة MSFT باستخدام VPN

حساب الحد الأقصى المتوقع للدخول/الخروج

  1. حدد متطلبات معدل النقل الأساسية لتطبيقك.
  2. حدد حدود معدل نقل بوابة Azure VPN. للحصول على المساعدة، راجع قسم "وحدات SKU للبوابة" في حول بوابة VPN.
  3. حدد دليل إنتاجية جهاز Azure الظاهري لحجم الجهاز الظاهري.
  4. حدد النطاق الترددي لموفر خدمة الإنترنت (ISP).
  5. احسب معدل النقل المتوقع عن طريق أخذ أقل عرض نطاق ترددي إما من جهاز ظاهري أو VPN Gateway أو ISP؛ الذي يقاس بالميغابت في الثانية (/) مقسوما على ثمانية (8). يمنحك هذا الحساب ميغابايت في الثانية.

إذا كان معدل النقل المحسوب لا يفي بمتطلبات معدل النقل الأساسي لتطبيقك، فيجب عليك زيادة عرض النطاق الترددي للمورد الذي حددته على أنه ازدحام. لتغيير حجم بوابة Azure VPN، راجع تغيير رمز SKU للبوابة. لتغيير حجم جهاز ظاهري، راجع تغيير حجم جهاز ظاهري. إذا لم تكن تواجه النطاق الترددي المتوقع للإنترنت، فيمكنك أيضًا الاتصال بموفر خدمة الإنترنت.

إشعار

معدل نقل بوابة VPN هو عبارة عن تجميع لجميع اتصالات الموقع إلى الموقع \ VNET إلى VNET أو من نقطة إلى موقع.

التحقق من صحة معدل نقل الشبكة باستخدام أدوات الأداء

يجب إجراء التحقق من الصحة هذا خلال ساعات غير دقيقة، حيث لا يعطي تشبع معدل نقل نفق VPN أثناء الاختبار نتائج دقيقة.

الأداة التي نستخدمها لهذا الاختبار هي iPerf، والتي تعمل على كل من Windows وLinux ولها أوضاع العميل والخادم. يقتصر على 3 جيجابت في الثانية لأجهزة Windows الظاهرية.

لا تقوم هذه الأداة بتنفيذ أي عمليات قراءة/كتابة على القرص. إنه ينتج فقط نسبة استخدام شبكة TCP ذاتية الإنشاء من طرف إلى آخر. يقوم بإنشاء إحصائيات تستند إلى التجريب الذي يقيس عرض النطاق الترددي المتاح بين عقد العميل والخادم. عند الاختبار بين عقدتين، تعمل عقدة واحدة كخادم، وتعمل العقدة الأخرى كعميل. بمجرد اكتمال هذا الاختبار، نوصي بعكس أدوار العقد لاختبار كل من معدل نقل التحميل والتنزيل على كلتا العقدتين.

تنزيل iPerf

تنزيل iPerf. للحصول على التفاصيل، راجع الوثائق.

إشعار

يتم تصنيع منتجات الجهات الخارجية التي تمت مناقشتها في هذه المقالة بواسطة شركات مستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، ضمنيًا أو غير ذلك، حول أداء هذه المنتجات أو موثوقيتها.

تشغيل iPerf (iperf3.exe)

  1. قم بتمكين قاعدة NSG/ACL التي تسمح بنسبة استخدام الشبكة (لاختبار عنوان IP العام على Azure VM).

  2. على كلتا العقدتين، قم بتمكين استثناء جدار حماية للمنفذ 5001.

    Windows: قم بتشغيل الأمر التالي كمسؤول:

    netsh advfirewall firewall add rule name="Open Port 5001" dir=in action=allow protocol=TCP localport=5001

    لإزالة القاعدة عند اكتمال الاختبار، قم بتشغيل هذا الأمر:

    netsh advfirewall firewall delete rule name="Open Port 5001" protocol=TCP localport=5001

    Azure Linux: تحتوي صور Azure Linux على جدران حماية متساهلة. إذا كان هناك تطبيق يستمع إلى منفذ، يسمح بنسبة استخدام الشبكة من خلال. قد تحتاج الصور المخصصة المؤمنة إلى فتح منافذ بشكل صريح. تتضمن جدران الحماية الشائعة لطبقة نظام التشغيل Linux iptables أو ufw أو firewalld.

  3. على عقدة الخادم، قم بالتغيير إلى الدليل حيث يتم استخراج iperf3.exe. ثم قم بتشغيل iPerf في وضع الخادم، وقم بتعيينه للاستماع إلى المنفذ 5001 كالأوامر التالية:

    cd c:\iperf-3.1.2-win65

iperf3.exe -s -p 5001

    إشعار

    المنفذ 5001 قابل للتخصيص لمراعاة قيود جدار الحماية الخاصة في بيئتك.

  4. على عقدة العميل، قم بالتغيير إلى الدليل حيث يتم استخراج أداة iperf ثم قم بتشغيل الأمر التالي:

    iperf3.exe -c <IP of the iperf Server> -t 30 -p 5001 -P 32

    يوجه العميل 30 ثانية من حركة المرور على المنفذ 5001، إلى الخادم. تشير العلامة '-P' إلى أننا نقوم بإجراء 32 اتصالا متزامنا بعقدة الخادم.

    تعرض الشاشة التالية الإخراج من هذا المثال:

    المخرجات

  5. (اختياري) للحفاظ على نتائج الاختبار، قم بتشغيل هذا الأمر:

    iperf3.exe -c IPofTheServerToReach -t 30 -p 5001 -P 32  >> output.txt

  6. بعد الانتهاء من الخطوات السابقة، قم بتنفيذ نفس الخطوات مع عكس الأدوار، بحيث تكون عقدة الخادم الآن عقدة العميل، والعكس صحيح.

إشعار

Iperf ليست الأداة الوحيدة. NTTTCP هو حل بديل للاختبار.

اختبار الأجهزة الظاهرية التي تعمل على Windows

تحميل Latte.exe على الأجهزة الظاهرية

بادر بتنزيل أحدث إصدار من Latte.exe

ضع في اعتبارك وضع Latte.exe في مجلد منفصل، مثل c:\tools

السماح Latte.exe من خلال جدار الحماية Windows

على جهاز الاستقبال، قم بإنشاء قاعدة السماح على جدار حماية Windows للسماح بوصول نسبة استخدام الشبكة Latte.exe. من الأسهل السماح ببرنامج Latte.exe بأكمله بالاسم بدلًا من السماح بمنافذ TCP محددة واردة.

السماح بـLatte.exe من خلال جدار الحماية Windows

netsh advfirewall firewall add rule program=<PATH>\latte.exe name="Latte" protocol=any dir=in action=allow enable=yes profile=ANY

على سبيل المثال، إذا قمت بنسخ latte.exe إلى المجلد "c:\tools"، فستجد الأمر التالي

netsh advfirewall firewall add rule program=c:\tools\latte.exe name="Latte" protocol=any dir=in action=allow enable=yes profile=ANY

تشغيل اختبارات زمن الانتقال

ابدأ latte.exe على جهاز الاستقبال (تشغيل من CMD، وليس من PowerShell):

latte -a <Receiver IP address>:<port> -i <iterations>

حوالي 65 ألف تكرار طويل بما يكفي لإرجاع النتائج التمثيلية.

أي رقم منفذ متاح على ما يرام.

إذا كان الجهاز الظاهري يحتوي على عنوان IP 10.0.0.4، فسيبدو الأمر كما يلي

latte -c -a 10.0.0.4:5005 -i 65100

ابدأ latte.exe على جهاز الإرسال (تشغيل من CMD، وليس من PowerShell)

latte -c -a <Receiver IP address>:<port> -i <iterations>

الأمر الناتج هو نفسه الموجود على جهاز الاستقبال باستثناء إضافة "-c" للإشارة إلى أن هذا هو "العميل" أو المرسل

latte -c -a 10.0.0.4:5005 -i 65100

انتظر النتائج. اعتمادًا على مدى تباعد الأجهزة الظاهرية، قد يستغرق الأمر بضع دقائق لإكمالها. فكر في البدء بعدد أقل من التكرارات لاختبار النجاح قبل إجراء اختبارات أطول.

اختبار الأجهزة الظاهرية التي تعمل بـLinux

استخدم SockPerf لاختبار الأجهزة الظاهرية.

تثبيت SockPerf على الأجهزة الظاهرية

في الأجهزة الظاهرية التي تعمل بنظام التشغيل Linux (كل من المرسل والمستقبل)، قم بتشغيل هذه الأوامر لإعداد SockPerf على الأجهزة الظاهرية الخاصة بك:

RHEL - تثبيت GIT والأدوات المفيدة الأخرى

sudo yum install gcc -y -q sudo yum install git -y -q sudo yum install gcc-c++ -y sudo yum install ncurses-devel -y sudo yum install -y automake

Ubuntu - تثبيت GIT وغيرها من الأدوات المفيدة

sudo apt-get install build-essential -y sudo apt-get install git -y -q sudo apt-get install -y autotools-dev sudo apt-get install -y automake

Bash - الكل

من سطر أوامر bash (بافتراض تثبيت git)

git clone https://github.com/mellanox/sockperf cd sockperf/ ./autogen.sh ./configure --prefix=

Make أبطأ، قد يستغرق عدة دقائق

make

تثبيت Make سريع

sudo make install

تشغيل SockPerf على الأجهزة الظاهرية

نماذج الأوامر بعد التثبيت. الخادم/ المتلقي - يفترض أن عنوان IP الخاص بالخادم هو 10.0.0.4

sudo sockperf sr --tcp -i 10.0.0.4 -p 12345 --full-rtt

العميل - يفترض أن عنوان IP الخاص بالخادم هو 10.0.0.4

sockperf ping-pong -i 10.0.0.4 --tcp -m 1400 -t 101 -p 12345 --full-rtt

إشعار

تأكد من عدم وجود قفزات وسيطة (مثل الجهاز الافتراضي) في أثناء اختبار معدل النقل بين الجهاز الظاهري والبوابة. إذا كانت هناك نتائج ضعيفة (من حيث معدل النقل الإجمالي) قادمة من اختبارات iPERF / NTTTCP أعلاه، فيرجى الرجوع إلى هذه المقالة لفهم العوامل الرئيسية الكامنة وراء الأسباب الجذرية المحتملة للمشكلة:

على وجه الخصوص، يساعد تحليل تتبعات التقاط الحزمة (Wireshark/Network Monitor) التي تم جمعها بالتوازي من العميل والخادم أثناء تلك الاختبارات في تقييمات الأداء السيئ. يمكن أن تشمل هذه الآثار فقدان الحزمة، الكمون العالي، حجم MTU. التجزئة، نافذة TCP 0، شظايا خارج الترتيب، وهلم جرًا.

معالجة مشكلات النسخ البطيء للملفات

حتى إذا كان إجمالي معدل النقل الذي تم تقييمه بالخطوات السابقة (iPERF / NTTTCP / إلخ) جيدًا، فقد تواجه بطء في التعامل مع الملفات عند استخدام مستكشف Windows أو السحب والإفلات خلال جلسة عمل RDP. ترجع هذه المشكلة عادة إلى أحد العاملين التاليين أو كليهما:

  • لا تستخدم تطبيقات نسخ الملفات، مثل مستكشف Windows وRDP، مؤشرات ترابط متعددة عند نسخ الملفات. للحصول على أداء أفضل، استخدم تطبيق نسخ ملفات متعدد مؤشرات الترابط مثل Richcopy لنسخ الملفات باستخدام 16 أو 32 مؤشر ترابط. لتغيير رقم مؤشر الترابط لنسخة الملف في Richcopy، انقر فوق الإجراءات>خيارات النسخ>نسخ ملف.

    مشاكل بطيئة في نسخ الملف

    إشعار

    لا تعمل جميع التطبيقات بنفس الطريقة، ولا تستخدم جميع التطبيقات / العمليات جميع مؤشرات الترابط. إذا قمت بتشغيل الاختبار، فقد ترى بعض سلاسل الرسائل فارغة ولن توفر نتائج معدل نقل دقيق. للتحقق من أداء نقل ملفات التطبيق الخاص بك، استخدم مؤشر ترابط متعدد عن طريق زيادة # مؤشر الترابط على التوالي أو نقصانه للعثور على معدل النقل الأمثل للتطبيق أو نقل الملفات.

  • سرعة قراءة/كتابة قرص الجهاز الظاهري غير كافية. للحصول على مزيدٍ من المعلومات، راجع استكشاف الأخطاء وإصلاحها لـ Azure Storage.

واجهة خارجية للجهاز المحلي

ذكر الشبكات الفرعية للنطاقات المحلية التي ترغب في أن يصل إليها Azure عبر VPN على بوابة الشبكة المحلية. في الوقت نفسه، حدد مساحة عنوان VNET في Azure إلى الجهاز المحلي.

  • بوابة معتمدة على المسار: يتم تكوين نهج أو محدد نسبة استخدام الشبكة لـ VPN المستندة إلى المسار ك «أي إلى أي» (أو أحرف بدل).

  • بوابة معتمدة على النهج: تقوم شبكات VPN المستندة إلى النهج بتشفير الحزم وتوجيهها عبر شبكات IPsec استنادًا إلى مجموعات من بادئات العنوان بين شبكتك المحلية وAzure VNet. يتم تعريف النهج (أو محدد حركة المرور) عادة كقائمة وصول في تكوين VPN.

  • استخدام اتصالاتPolicyBasedTrafficSelector : ("UsePolicyBasedTrafficSelectors" $True على اتصال يقوم بتكوين بوابة Azure VPN للاتصال بجدار حماية VPN المستند إلى النهج في أماكن العمل. إذا قمت بتمكين UsePolicyBasedTrafficSelectors، فستحتاج إلى التأكد من أن جهاز VPN الخاص بك يحتوي على محددات نسبة استخدام الشبكة المطابقة المحددة مع جميع مجموعات بادئات الشبكة المحلية (بوابة الشبكة المحلية) من/إلى بادئات الشبكة الظاهرية Azure، بدلًا من أي بادئة إلى أي منها.

قد يؤدي التكوين غير المناسب إلى قطع الاتصال المتكرر داخل النفق، وقطرات الحزم، ومعدل النقل السيئ، وزمن الانتقال.

التحقق من زمن الانتقال

يمكنك التحقق من زمن الوصول باستخدام الأدوات التالية:

  • WinMTR
  • TCPTraceroute
  • ping وpsping (يمكن أن توفر هذه الأدوات تقديرا جيدا لـRTT، ولكن لا يمكن استخدامها في جميع الحالات.)

التحقق من زمن الانتقال

إذا لاحظت ارتفاعًا كبيرًا في زمن الوصول في أي من القفزات قبل الدخول إلى العمود الفقري لـMS Network، فقد ترغب في متابعة المزيد من التحقيقات مع مزود خدمة الإنترنت الخاص بك.

إذا لوحظ ارتفاع كبير وغير عادي في زمن الوصول من القفزات داخل "msn.net"، فيرجى الاتصال بدعم MS لمزيد من التحقيقات.

الخطوات التالية

لمزيد من المعلومات أو المساعدة، تحقق من الروابط التالية: