Bagikan melalui

Cara memvalidasi keluaran VPN ke jaringan maya

Koneksi gateway VPN memungkinkan Anda membuat konektivitas lintas lokal yang aman antara Jaringan Virtual Anda di Azure dan infrastruktur TI lokal Anda.

Artikel ini menunjukkan cara memvalidasi throughput jaringan dari sumber daya lokal ke komputer virtual (VM) Azure.

Catatan

Artikel ini dirancang untuk membantu mendiagnosis dan memperbaiki masalah umum. Jika Anda tidak dapat menyelesaikan masalah dengan menggunakan informasi berikut, hubungi dukungan.

Gambaran Umum

Koneksi VPN gateway melibatkan komponen berikut:

Diagram berikut menunjukkan konektivitas logis jaringan lokal ke jaringan virtual Azure melalui VPN.

Konektivitas Logis Jaringan Pelanggan ke Jaringan MSFT dengan menggunakan VPN

Menghitung ingress/egress maksimum yang diharapkan

  1. Tentukan persyaratan throughput garis besar aplikasi Anda.
  2. Tentukan batasan throughput gateway Azure VPN Anda. Untuk bantuan, lihat bagian "Gateway SKU" di Tentang VPN Gateway.
  3. Tentukan panduan throughput Azure VM untuk ukuran VM Anda.
  4. Tentukan bandwidth Penyedia Layanan Internet (ISP) Anda.
  5. Hitung throughput yang diharapkan dengan mengambil bandwidth paling sedikit, baik dari VM, VPN Gateway, atau ISP; yang diukur dalam Megabit per detik (/) dibagi delapan (8). Perhitungan ini memberi Anda Megabyte-per-detik.

Jika throughput terhitung Anda tidak memenuhi persyaratan dasar throughput aplikasi, Anda harus meningkatkan bandwidth sumber daya yang Anda identifikasi sebagai titik lemah. Untuk memperbarui Azure VPN Gateway, lihat Memperbarui SKU Gateway. Untuk mengubah ukuran mesin virtual, lihat Mengubah ukuran VM. Jika Anda tidak mengalami bandwidth Internet yang diharapkan, Anda juga dapat menghubungi ISP Anda.

Catatan

Throughput VPN Gateway adalah agregat dari semua koneksi Situs-ke-Situs\VNET-ke-VNET atau Titik-ke-Situs.

Memvalidasi throughput jaringan dengan menggunakan alat kinerja

Validasi ini harus dilakukan selama jam nonpeak, karena saturasi throughput terowongan VPN selama pengujian tidak memberikan hasil yang akurat.

Alat yang kami gunakan untuk pengujian ini adalah iPerf, yang berfungsi pada Windows dan Linux serta memiliki mode klien dan server. Ini terbatas pada 3 Gbps untuk VM Windows.

Alat ini tidak melakukan operasi baca/tulis apa pun ke disk. Alat ini hanya menghasilkan lalu lintas TCP yang dihasilkan sendiri dari satu ujung ke ujung lainnya. Alat ini menghasilkan statistik berdasarkan eksperimen yang mengukur bandwidth yang tersedia antara node klien dan server. Saat menguji antara dua node, satu node bertindak sebagai server, dan node lainnya bertindak sebagai klien. Setelah pengujian ini selesai, Anda sebaiknya membalikkan peran node untuk menguji throughput unggah dan unduh pada kedua node.

Unduh iPerf

Unduh iPerf. Untuk detailnya, lihat dokumentasi iPerf.

Catatan

Produk pihak ketiga yang dibahas di artikel ini diproduksi oleh perusahaan yang tidak berafiliasi apa pun dengan Microsoft. Microsoft tidak memberikan jaminan, tersirat atau sebaliknya, tentang performa atau keandalan produk ini.

Jalankan iPerf (iperf3.exe)

  1. Aktifkan aturan NSG/ACL yang mengizinkan lalu lintas (untuk pengujian alamat IP publik di Azure VM).

  2. Di kedua node, aktifkan pengecualian firewall untuk port 5001.

    Windows: Jalankan perintah berikut sebagai administrator:

    netsh advfirewall firewall add rule name="Open Port 5001" dir=in action=allow protocol=TCP localport=5001

    Untuk menghapus aturan saat pengujian selesai, jalankan perintah ini:

    netsh advfirewall firewall delete rule name="Open Port 5001" protocol=TCP localport=5001

    Azure Linux: Gambar Azure Linux memiliki firewall permisif. Jika ada aplikasi yang mendengarkan di port, lalu lintas diizinkan melaluinya. Gambar kustom yang diamankan mungkin memerlukan port yang dibuka secara eksplisit. Firewall lapisan OS Linux umum mencakup iptables, ufw, atau firewalld.

  3. Pada node server, ubah ke direktori tempat iperf3.exe diekstraksi. Kemudian jalankan iPerf dalam mode server, dan atur untuk mendengarkan pada port 5001 sebagai perintah berikut:

    cd c:\iperf-3.1.2-win65

iperf3.exe -s -p 5001

    Catatan

    Port 5001 dapat disesuaikan untuk memperhitungkan pembatasan firewall tertentu di lingkungan Anda.

  4. Pada node klien, ubah ke direktori tempat alat iperf diekstraksi, lalu jalankan perintah berikut:

    iperf3.exe -c <IP of the iperf Server> -t 30 -p 5001 -P 32

    Klien mengarahkan lalu lintas 30 detik pada port 5001, ke server. Bendera '-P' menunjukkan bahwa kita membuat 32 koneksi simultan ke simpul server.

    Layar berikut menunjukkan output dari contoh ini:

    Hasil

  5. (OPSIONAL) Untuk mempertahankan hasil pengujian, jalankan perintah ini:

    iperf3.exe -c IPofTheServerToReach -t 30 -p 5001 -P 32  >> output.txt

  6. Setelah menyelesaikan langkah sebelumnya, jalankan langkah yang sama dengan peran dibalik, sehingga simpul server sekarang akan menjadi simpul klien dan sebaliknya.

Catatan

Iperf bukan satu-satunya alat. NTTTCP adalah solusi alternatif untuk pengujian.

Menguji VM yang menjalankan Windows

Memuat latte.exe ke VM

Unduh versi terbaru Latte.exe

Pertimbangkan untuk meletakkan latte.exe di folder terpisah, seperti c:\tools

Izinkan Latte.exe melewati Windows Firewall

Pada penerima, buat aturan Izinkan pada Windows Firewall untuk mengizinkan lalu lintas Latte.exe masuk. Paling mudah untuk mengizinkan seluruh program Latte.exe berdasarkan nama daripada mengizinkan port TCP tertentu masuk.

Mengizinkan Latte.exe melalui Firewall Windows seperti ini

netsh advfirewall firewall add rule program=<PATH>\latte.exe name="Latte" protocol=any dir=in action=allow enable=yes profile=ANY

Misalnya, jika Anda menyalin latte.exe ke folder “c:\tools”, ini akan menjadi perintahnya

netsh advfirewall firewall add rule program=c:\tools\latte.exe name="Latte" protocol=any dir=in action=allow enable=yes profile=ANY

Jalankan pengujian latensi

Mulai latte.exe di PENERIMA (jalankan dari CMD, bukan dari PowerShell):

latte -a <Receiver IP address>:<port> -i <iterations>

Sekitar 65k ulangan berlangsung cukup lama untuk mengembalikan hasil yang representatif.

Nomor port berapa pun yang tersedia dapat diterima.

Jika memiliki alamat IP 10.0.0.4, VM akan terlihat seperti ini

latte -c -a 10.0.0.4:5005 -i 65100

Mulai latte.exe di PENGIRIM (jalankan dari CMD, bukan dari PowerShell)

latte -c -a <Receiver IP address>:<port> -i <iterations>

Perintah yang dihasilkan sama seperti pada penerima, kecuali dengan penambahan dari “-c” untuk menunjukkan bahwa ini adalah “klien” atau pengirim

latte -c -a 10.0.0.4:5005 -i 65100

Tunggu hasilnya. Tergantung pada seberapa jarak VM, penyelesaiannya bisa memerlukan waktu beberapa menit. Pertimbangkan untuk memulai dengan ulangan yang lebih sedikit untuk menguji keberhasilan sebelum menjalankan pengujian yang lebih lama.

Uji VM yang menjalankan Linux

Gunakan SockPerf untuk menguji VM.

Instal SockPerf pada VM

Pada VM Linux (PENGIRIM dan PENERIMA), jalankan perintah berikut untuk mempersiapkan SockPerf di VM Anda:

RHEL - Menginstal GIT dan alat bermanfaat lainnya

sudo yum install gcc -y -q sudo yum install git -y -q sudo yum install gcc-c++ -y sudo yum install ncurses-devel -y sudo yum install -y automake

Ubuntu - Instal GIT dan alat berguna lainnya

sudo apt-get install build-essential -y sudo apt-get install git -y -q sudo apt-get install -y autotools-dev sudo apt-get install -y automake

Bash - semua

Dari baris perintah bash (asumsikan git diinstal)

git clone https://github.com/mellanox/sockperf cd sockperf/ ./autogen.sh ./configure --prefix=

Membuat lebih lambat, dan mungkin memakan waktu beberapa menit

make

Buat instal cepat

sudo make install

Jalankan SockPerf di VM

Sampel perintah setelah instalasi. Server/Penerima - mengasumsikan IP server adalah 10.0.0.4

sudo sockperf sr --tcp -i 10.0.0.4 -p 12345 --full-rtt

Klien - mengasumsikan IP server adalah 10.0.0.4

sockperf ping-pong -i 10.0.0.4 --tcp -m 1400 -t 101 -p 12345 --full-rtt

Catatan

Pastikan tidak ada hop perantara (mis. Appliance Virtual) selama pengujian throughput di antara VM dan Gateway. Jika ada hasil yang buruk (dalam hal throughput keseluruhan) yang berasal dari pengujian iPERF/NTTTCP di atas, harap lihat artikel ini untuk memahami faktor kunci di balik kemungkinan akar penyebab masalah:

Secara khusus, analisis jejak penangkapan paket (Wireshark/Monitor Jaringan) yang dikumpulkan secara paralel dari klien dan server selama pengujian tersebut membantu dalam penilaian performa buruk. Jejak ini dapat mencakup kehilangan paket, latensi tinggi, ukuran MTU. Fragmentasi, Jendela 0 TCP, Fragmen Tidak Berurutan, dan sebagainya.

Mengatasi masalah penyalinan file yang lambat

Bahkan jika throughput keseluruhan yang dinilai dengan langkah-langkah sebelumnya (iPERF/NTTTCP/dll.) baik, Anda mungkin mengalami penyalinan file yang lambat saat menggunakan Windows Explorer, atau menyeret dan menjatuhkan melalui sesi RDP. Masalah ini biasanya disebabkan oleh salah satu atau kedua faktor berikut:

  • Aplikasi salinan file, seperti Windows Explorer dan RDP, tidak menggunakan beberapa utas saat menyalin file. Untuk performa yang lebih baik, gunakan aplikasi penyalinan file multi-utas, seperti Richcopy untuk menyalin file dengan menggunakan 16 atau 32 utas. Untuk mengubah nomor utas untuk penyalinan file di Richcopy, klik Tindakan>Opsi penyalinan>Salin file.

    Masalah penyalinan file yang lambat

    Catatan

    Tidak semua aplikasi berfungsi sama dan tidak semua aplikasi/proses menggunakan semua utas. Jika Anda menjalankan pengujian, Anda dapat melihat beberapa utas kosong dan tidak akan memberikan hasil throughput yang akurat. Untuk memeriksa performa transfer file aplikasi Anda, gunakan multi-utas dengan meningkatkan # utas secara berurutan atau turunkan untuk menemukan throughput yang optimal dari aplikasi atau transfer file.

  • Kecepatan baca/tulis diska VM tidak memadai. Untuk informasi selengkapnya, lihat Pemecahan Masalah Azure Storage.

Antarmuka menghadap eksternal perangkat lokal

Sebutkan subnet rentang lokal yang menurut Anda perlu dijangkau oleh Azure melalui VPN di Gateway Jaringan Lokal. Secara bersamaan, tentukan ruang alamat jaringan virtual di Azure ke perangkat lokal.

  • Gateway Berbasis Rute: Kebijakan atau pemilih lalu lintas untuk VPN berbasis rute dikonfigurasi sebagai any-to-any (atau wild card).

  • Gateway Berbasis Kebijakan: VPN berbasis kebijakan mengenkripsi dan mengarahkan paket melalui terowongan IPsec berdasarkan kombinasi prefiks alamat antara jaringan lokal Anda dan Azure VNet. Kebijakan ini (atau Pemilih Lalu Lintas) biasanya ditentukan sebagai daftar akses pada konfigurasi VPN.

  • Koneksi UsePolicyBasedTrafficSelector : ("UsePolicyBasedTrafficSelectors" untuk $True pada koneksi mengonfigurasi gateway VPN Azure untuk tersambung ke firewall VPN berbasis kebijakan di tempat. Jika Anda mengaktifkan PolicyBasedTrafficSelectors, Anda perlu memastikan perangkat VPN memiliki pemilih lalu lintas yang sesuai yang ditentukan dengan semua kombinasi prefiks jaringan lokal (gateway jaringan lokal) ke dan dari prefiks jaringan virtual Azure, alih-alih any-to-any.

Konfigurasi yang tidak tepat dapat menyebabkan pemutusan sambungan yang sering pada terowongan, kehilangan paket, throughput yang buruk, dan latensi.

Memeriksa latensi

Anda dapat memeriksa latensi dengan menggunakan alat berikut:

  • WinMTR
  • TCPTraceroute
  • ping dan psping (Alat-alat ini dapat memberikan perkiraan RTT yang baik, tetapi tidak dapat digunakan di semua kasus.)

Periksa latensi

Jika Anda melihat lonjakan latensi tinggi di salah satu hop sebelum memasuki backbone MS Network, Anda mungkin ingin melanjutkan penyelidikan lebih lanjut dengan Penyedia Layanan Internet Anda.

Jika Anda melihat lonjakan latensi besar dan tidak biasa dari hop dalam "msn.net", hubungi dukungan Microsoft untuk penyelidikan lebih lanjut.

Langkah berikutnya

Untuk informasi atau bantuan selengkapnya, lihat tautan berikut: