Sdílet prostřednictvím

Výkon brány SDN

Ve Windows Server 2016 patřil k zákaznickým obavám neschopnost brány SDN splnit požadavky na propustnost moderních sítí. Propustnost sítě tunelů IPsec a GRE měla omezení s propustností jednoho připojení pro připojení IPsec přibližně 300 Mb/s a pro připojení GRE přibližně 2,5 Gb/s.

Od verze Windows Server 2019 jsme výrazně zlepšili výkon brány SDN, kdy rychlosti pro připojení IPsec a GRE dosahují až 1,8 Gb/s a 15 Gb/s. To vše s významným snížením cyklů procesoru za bajt, což poskytuje ultravýkonnou propustnost s mnohem nižším využitím procesoru.

Povolit vysoký výkon pomocí bran

U připojení GRE byste po nasazení nebo upgradu na Windows Server 2019 na virtuálních počítačích brány měli vidět lepší výkon. Nejsou zahrnuty žádné ruční kroky.

Pro připojení IPsec ve výchozím nastavení při vytváření připojení pro virtuální sítě získáte cestu k datům a výkonu Windows Serveru 2016. Pokud chcete povolit cestu k datům Windows Serveru 2019, postupujte takto:

  1. Na virtuálním počítači brány SDN přejděte do konzoly služeb (services.msc).
  2. Vyhledejte službu s názvem Azure Gateway Service a nastavte typ spuštění na Automaticky.
  3. Restartujte virtuální počítač brány. Aktivní připojení na této bráně se přepínají na redundantní virtuální počítač brány při přepnutí (z důvodu selhání).
  4. Opakujte předchozí kroky pro všechny zbývající virtuální počítače brány.

Aby připojení IPsec fungovala s vysokým výkonem, musí být splněny následující požadavky:

  • V místní bráně by měla být povolená síťová adresa Translation-Traversal (NAT-T). Při povolování vysoce výkonných připojení IPsec brána SDN konfiguruje pravidlo překladu adres (NAT), proto je potřeba povolit NAT-T na místní bráně.
  • Místní brána by měla umožňovat pakety UDP (User Datagram Protocol) na portech 500 a 4500 a protokolu 50 a 51.

Tip

Pro zajištění nejlepších výsledků výkonu se ujistěte, že cipherTransformationConstant a authenticationTransformConstant v nastavení rychlého režimu připojení IPsec používá sadu šifer GCMAES256.

Pro maximální výkon musí hostitelský hardware brány podporovat AES-NI a sady instrukcí procesoru PCLMULQDQ. Jsou k dispozici na jakémkoli westmere (32nm) a novějším procesoru Intel s výjimkou modelů, kde AES-NI byl zakázán. V dokumentaci dodavatele hardwaru můžete zjistit, jestli procesor podporuje AES-NI a sady instrukcí procesoru PCLMULQDQ.

Níže je ukázka rest připojení IPsec s optimálními algoritmy zabezpečení:

# NOTE: The virtual gateway must be created before creating the IPsec connection. More details here.
# Create a new object for Tenant Network IPsec Connection
$nwConnectionProperties = New-Object Microsoft.Windows.NetworkController.NetworkConnectionProperties

# Update the common object properties
$nwConnectionProperties.ConnectionType = "IPSec"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 2000000
$nwConnectionProperties.InboundKiloBitsPerSecond = 2000000

# Update specific properties depending on the Connection Type
$nwConnectionProperties.IpSecConfiguration = New-Object Microsoft.Windows.NetworkController.IpSecConfiguration
$nwConnectionProperties.IpSecConfiguration.AuthenticationMethod = "PSK"
$nwConnectionProperties.IpSecConfiguration.SharedSecret = "111_aaa"

$nwConnectionProperties.IpSecConfiguration.QuickMode = New-Object Microsoft.Windows.NetworkController.QuickMode
$nwConnectionProperties.IpSecConfiguration.QuickMode.PerfectForwardSecrecy = "PFS2048"
$nwConnectionProperties.IpSecConfiguration.QuickMode.AuthenticationTransformationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.CipherTransformationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeSeconds = 3600
$nwConnectionProperties.IpSecConfiguration.QuickMode.IdleDisconnectSeconds = 500
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeKiloBytes = 2000

$nwConnectionProperties.IpSecConfiguration.MainMode = New-Object Microsoft.Windows.NetworkController.MainMode
$nwConnectionProperties.IpSecConfiguration.MainMode.DiffieHellmanGroup = "Group2"
$nwConnectionProperties.IpSecConfiguration.MainMode.IntegrityAlgorithm = "SHA256"
$nwConnectionProperties.IpSecConfiguration.MainMode.EncryptionAlgorithm = "AES256"
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeSeconds = 28800
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeKiloBytes = 2000

# L3 specific configuration (leave blank for IPSec)
$nwConnectionProperties.IPAddresses = @()
$nwConnectionProperties.PeerIPAddresses = @()

# Update the IPv4 Routes that are reachable over the site-to-site VPN Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route = New-Object Microsoft.Windows.NetworkController.RouteInfo
$ipv4Route.DestinationPrefix = "<<On premise subnet that must be reachable over the VPN tunnel. Ex: 10.0.0.0/24>>"
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route

# Tunnel Destination (Remote Endpoint) Address
$nwConnectionProperties.DestinationIPAddress = "<<Public IP address of the On-Premise VPN gateway. Ex: 192.168.3.4>>"

# Add the new Network Connection for the tenant. Note that the virtual gateway must be created before creating the IPsec connection. $uri is the REST URI of your deployment and must be in the form of “https://<REST URI>”
New-NetworkControllerVirtualGatewayNetworkConnection -ConnectionUri $uri -VirtualGatewayId $virtualGW.ResourceId -ResourceId "Contoso_IPSecGW" -Properties $nwConnectionProperties -Force

Výsledky testování

Provedli jsme rozsáhlé testování výkonu pro brány SDN v našich testovacích testovacích prostředích. V testech jsme porovnávali výkon sítě brány s Windows Serverem 2019 ve scénářích SDN a jiných scénářích než SDN. Výsledky a podrobnosti o nastavení testů najdete v tomto článku blogu.

  • Last updated on