Windows de puerta de enlace de Server 2019

Se aplica a: Windows Server 2022, Windows Server 2019, Azure Stack HCI, versiones 21H2 y 20H2

En Windows Server 2016, uno de los problemas de los clientes era la incapacidad de la puerta de enlace de SDN para satisfacer los requisitos de rendimiento de las redes modernas. El rendimiento de red de los túneles IPsec y GRE tenía limitaciones, ya que el rendimiento de conexión única para la conectividad IPsec era de aproximadamente 300 Mbps y para la conectividad GRE era de aproximadamente 2,5 Gbps.

Hemos mejorado significativamente en Windows Server 2019, con números que se disparan a 1,8 Gbps y 15 Gbps para las conexiones IPsec y GRE, respectivamente. Todo esto, con reducciones significativas en los ciclos de CPU/por byte, lo que proporciona un rendimiento de rendimiento muy alto con mucho menos uso de CPU.

Habilitación del alto rendimiento con puertas de enlace Windows Server 2019

En el caso de las conexiones GRE, una vez que implemente o actualice a Windows Server 2019 se compila en las máquinas virtuales de puerta de enlace, debería ver automáticamente el rendimiento mejorado. No hay ningún paso manual implicado.

En el caso de las conexiones IPsec, de forma predeterminada, cuando se crea la conexión para las redes virtuales, se obtiene la ruta de acceso Windows Server 2016 datos y los números de rendimiento. Para habilitar la ruta Windows de datos de Server 2019, haga lo siguiente:

  1. En una máquina virtual de puerta de enlace de SDN, vaya a la consola servicios (services.msc).
  2. Busque el servicio denominado Servicio de puerta de enlace de Azure y establezca el tipo de inicio en Automático.
  3. Reinicie la máquina virtual de puerta de enlace. Las conexiones activas en esta conmutación por error de puerta de enlace a una máquina virtual de puerta de enlace redundante.
  4. Repita los pasos anteriores para el resto de las máquinas virtuales de puerta de enlace.

Sugerencia

Para obtener los mejores resultados de rendimiento, asegúrese de que cipherTransformationConstant y authenticationTransformConstant en la configuración quickMode de la conexión IPsec usan el conjunto de cifrado GCMAES256 .

Para obtener el máximo rendimiento, el hardware del host de puerta de enlace debe admitir conjuntos de instrucciones de CPU AES-NI y PCLMULQDQ. Están disponibles en cualquier CPU de Westsha (32nm) y versiones posteriores de Intel, excepto en los modelos en los que se ha deshabilitado AES-NI. Puede consultar la documentación del proveedor de hardware para ver si la CPU admite conjuntos de instrucciones de CPU AES-NI y PCLMULQDQ.

A continuación se muestra un ejemplo de REST de conexión IPsec con algoritmos de seguridad óptimos:

# NOTE: The virtual gateway must be created before creating the IPsec connection. More details here.
# Create a new object for Tenant Network IPsec Connection
$nwConnectionProperties = New-Object Microsoft.Windows.NetworkController.NetworkConnectionProperties

# Update the common object properties
$nwConnectionProperties.ConnectionType = "IPSec"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 2000000
$nwConnectionProperties.InboundKiloBitsPerSecond = 2000000

# Update specific properties depending on the Connection Type
$nwConnectionProperties.IpSecConfiguration = New-Object Microsoft.Windows.NetworkController.IpSecConfiguration
$nwConnectionProperties.IpSecConfiguration.AuthenticationMethod = "PSK"
$nwConnectionProperties.IpSecConfiguration.SharedSecret = "111_aaa"

$nwConnectionProperties.IpSecConfiguration.QuickMode = New-Object Microsoft.Windows.NetworkController.QuickMode
$nwConnectionProperties.IpSecConfiguration.QuickMode.PerfectForwardSecrecy = "PFS2048"
$nwConnectionProperties.IpSecConfiguration.QuickMode.AuthenticationTransformationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.CipherTransformationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeSeconds = 3600
$nwConnectionProperties.IpSecConfiguration.QuickMode.IdleDisconnectSeconds = 500
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeKiloBytes = 2000

$nwConnectionProperties.IpSecConfiguration.MainMode = New-Object Microsoft.Windows.NetworkController.MainMode
$nwConnectionProperties.IpSecConfiguration.MainMode.DiffieHellmanGroup = "Group2"
$nwConnectionProperties.IpSecConfiguration.MainMode.IntegrityAlgorithm = "SHA256"
$nwConnectionProperties.IpSecConfiguration.MainMode.EncryptionAlgorithm = "AES256"
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeSeconds = 28800
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeKiloBytes = 2000

# L3 specific configuration (leave blank for IPSec)
$nwConnectionProperties.IPAddresses = @()
$nwConnectionProperties.PeerIPAddresses = @()

# Update the IPv4 Routes that are reachable over the site-to-site VPN Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route = New-Object Microsoft.Windows.NetworkController.RouteInfo
$ipv4Route.DestinationPrefix = "<<On premise subnet that must be reachable over the VPN tunnel. Ex: 10.0.0.0/24>>"
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route

# Tunnel Destination (Remote Endpoint) Address
$nwConnectionProperties.DestinationIPAddress = "<<Public IP address of the On-Premise VPN gateway. Ex: 192.168.3.4>>"

# Add the new Network Connection for the tenant. Note that the virtual gateway must be created before creating the IPsec connection. $uri is the REST URI of your deployment and must be in the form of “https://<REST URI>”
New-NetworkControllerVirtualGatewayNetworkConnection -ConnectionUri $uri -VirtualGatewayId $virtualGW.ResourceId -ResourceId "Contoso_IPSecGW" -Properties $nwConnectionProperties -Force

Resultados de pruebas

Hemos realizado pruebas de rendimiento exhaustivas para las puertas de enlace de SDN en nuestros laboratorios de pruebas. En las pruebas, hemos comparado el rendimiento de la red de puerta de enlace con Windows Server 2019 en escenarios de SDN y escenarios que no son SDN. Puede encontrar los resultados y los detalles de configuración de pruebas capturados en el artículo de blog aquí.