Aracılığıyla paylaş

Sanal ağa yönelik VPN aktarım hızını doğrulama

VPN ağ geçidi bağlantısı, Azure içindeki Sanal Ağ ile şirket içi BT altyapınız arasında güvenli, şirket içi bağlantı kurmanızı sağlar.

Bu makalede, şirket içi kaynaklardan Azure sanal makinesine (VM) ağ aktarım hızının nasıl doğrulanması gösterilmektedir.

Not

Bu makale, yaygın sorunları tanılamaya ve düzeltmeye yardımcı olmak için tasarlanmıştır. Aşağıdaki bilgileri kullanarak sorunu çözemiyorsanız desteğe başvurun.

Genel bakış

VPN ağ geçidi bağlantısı aşağıdaki bileşenleri içerir:

  • Şirket içi VPN cihazı (Doğrulanmış VPN cihazlarının listesini görüntüleyin.)
  • Genel İnternet
  • Azure VPN ağ geçidi
  • Azure VM

Aşağıdaki diyagramda şirket içi ağın VPN aracılığıyla Azure sanal ağına mantıksal bağlantısı gösterilmektedir.

VPN kullanarak Müşteri Ağının MSFT Ağına Mantıksal Bağlantısı

Beklenen en yüksek girişi/çıkışı hesaplama

  1. Uygulamanızın temel aktarım hızı gereksinimlerini belirleyin.
  2. Azure VPN ağ geçidi aktarım hızı sınırlarınızı belirleyin. Yardım için VPN Gateway Hakkında'nın "Ağ Geçidi SKU'ları" bölümüne bakın.
  3. VM boyutunuz için Azure VM aktarım hızı kılavuzunu belirleyin.
  4. İnternet Servis Sağlayıcısı (ISS) bant genişliğinizi belirleyin.
  5. VM, VPN Gateway veya ISS'nin en az bant genişliğini alarak beklenen aktarım hızınızı hesaplayın; saniye başına Megabit (/) cinsinden sekize (8) bölünür. Bu hesaplama size saniye başına Megabayt verir.

Hesaplanan aktarım hızınız uygulamanızın temel aktarım hızı gereksinimlerini karşılamıyorsa, performans sorunu olarak tanımladığınız kaynağın bant genişliğini artırmanız gerekir. Azure VPN Gateway'i yükseltmek için bkz. Ağ geçidi SKU'su yükseltme. Sanal makineyi yeniden boyutlandırmak için bkz . VM'yi yeniden boyutlandırma. Beklediğiniz İnternet bant genişliğini alamıyorsanız, ISS'nize de başvurabilirsiniz.

Not

VPN Gateway aktarım hızı, tüm Siteden Siteye\Sanal Ağdan Sanal Ağa veya Noktadan Siteye bağlantıların bir toplamıdır.

Performans araçlarını kullanarak ağ aktarım hızını doğrulama

Bu doğrulama, test sırasında VPN tünelinin aktarım hızındaki doygunluğun doğru sonuçlar vermemesi nedeniyle, yoğun olmayan saatlerde gerçekleştirilmelidir.

Bu test için kullandığımız araç, hem Windows hem de Linux üzerinde çalışan ve hem istemci hem de sunucu modlarına sahip olan iPerf'tir. Windows VM'leri için 3 Gb/sn ile sınırlıdır.

Bu araç diske okuma/yazma işlemi gerçekleştirmez. Yalnızca bir uçtan diğerine kendi kendine oluşturulan TCP trafiği üretir. İstemci ve sunucu düğümleri arasında kullanılabilir bant genişliğini ölçen denemelere dayalı istatistikler oluşturur. İki düğüm arasında test yaparken, bir düğüm sunucu, diğer düğüm de istemci olarak davranır. Bu test tamamlandıktan sonra, her iki düğümde de hem karşıya yükleme hem de indirme aktarım hızını test etmek için düğümlerin rollerini ters çevirmenizi öneririz.

iPerf'i indirin

iPerf'i indirin. Ayrıntılar için iPerf belgelerine bakın.

Not

Bu makalede ele alınan üçüncü taraf ürünleri, Microsoft'un bağımsız şirketleri tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.

iPerf'i çalıştırma (iperf3.exe)

  1. Trafiğe izin veren bir NSG/ACL kuralını etkinleştirin (Azure VM'de genel IP adresi testi için).

  2. Her iki düğümde de 5001 numaralı bağlantı noktası için güvenlik duvarı özel durumunu etkinleştirin.

    Windows: Yönetici olarak aşağıdaki komutu çalıştırın:

    netsh advfirewall firewall add rule name="Open Port 5001" dir=in action=allow protocol=TCP localport=5001

    Test tamamlandığında kuralı kaldırmak için şu komutu çalıştırın:

    netsh advfirewall firewall delete rule name="Open Port 5001" protocol=TCP localport=5001

    Azure Linux: Azure Linux görüntülerinde izin verilebilir güvenlik duvarları vardır. Bağlantı noktasında dinleyen bir uygulama varsa trafiğe izin verilir. Güvenliği sağlanan özel görüntüler için bağlantı noktalarının açıkça açılması gerekebilir. Yaygın Linux işletim sistemi katmanı güvenlik duvarları arasında iptables, ufwveya bulunur firewalld.

  3. Sunucu düğümünde, iperf3.exe ayıklandığı dizine geçin. Ardından iPerf'i sunucu modunda çalıştırın ve aşağıdaki komutlar olarak 5001 numaralı bağlantı noktasında dinleyecek şekilde ayarlayın:

    cd c:\iperf-3.1.2-win65

iperf3.exe -s -p 5001

    Not

    5001 numaralı bağlantı noktası, ortamınızdaki belirli güvenlik duvarı kısıtlamalarını hesaba eklemek için özelleştirilebilir.

  4. İstemci düğümünde, iperf aracının ayıklandığı dizine geçin ve aşağıdaki komutu çalıştırın:

    iperf3.exe -c <IP of the iperf Server> -t 30 -p 5001 -P 32

    İstemci, 5001 numaralı bağlantı noktasında 30 saniyelik trafiği sunucuya yönlendiriyor. '-P' bayrağı, sunucu düğümüne 32 eşzamanlı bağlantı yaptığımıza işaret eder.

    Aşağıdaki ekranda bu örnekten elde edilen çıkış gösterilmektedir:

    Çıktı

  5. (İSTEĞE BAĞLı) Test sonuçlarını korumak için şu komutu çalıştırın:

    iperf3.exe -c IPofTheServerToReach -t 30 -p 5001 -P 32  >> output.txt

  6. Önceki adımları tamamladıktan sonra, aynı adımları ters çevrilmiş rollerle yürüterek sunucu düğümü artık istemci düğümü olur ve bunun tersi de geçerlidir.

Not

Iperf tek araç değildir. NTTTCP, test için alternatif bir çözümdür.

Windows çalıştıran VM'leri test edin

VM'lere Latte.exe yükleme

Latte.exe'nin en son sürümünü indirme

Latte.exe gibi ayrı bir klasöre yerleştirmeyi göz önünde bulundurun c:\tools

Windows Güvenlik Duvarı'nda Latte.exe'a izin ver

Alıcıda, Latte.exe trafiğinin ulaşmasına izin vermek için Windows Güvenlik Duvarı'nda bir İzin Ver kuralı oluşturun. Gelen belirli TCP bağlantı noktalarına izin vermek yerine, Latte.exe programının tamamına ada göre izin vermek en kolayıdır.

Windows Güvenlik Duvarı üzerinden Latte.exe izin ver

netsh advfirewall firewall add rule program=<PATH>\latte.exe name="Latte" protocol=any dir=in action=allow enable=yes profile=ANY

Örneğin, latte.exe "c:\tools" klasörüne kopyaladıysanız, bu komut olacaktır

netsh advfirewall firewall add rule program=c:\tools\latte.exe name="Latte" protocol=any dir=in action=allow enable=yes profile=ANY

Gecikme süresi testlerini çalıştırma

ALıCı'da latte.exe başlatın (PowerShell'den değil CMD'den çalıştırın):

latte -a <Receiver IP address>:<port> -i <iterations>

Yaklaşık 65k yinelemeler, temsili sonuçları döndürecek kadar uzundur.

Kullanılabilir herhangi bir bağlantı noktası numarası yeterlidir.

VM'nin IP adresi 10.0.0.4 ise şöyle görünür

latte -c -a 10.0.0.4:5005 -i 65100

SENDER üzerinde latte.exe başlatın (PowerShell'den değil CMD'den çalıştırın)

latte -c -a <Receiver IP address>:<port> -i <iterations>

Bunun "istemci" veya gönderen olduğunu belirtmek için "-c" eklenmesi dışında, sonuçta elde edilen komut alıcıyla aynıdır

latte -c -a 10.0.0.4:5005 -i 65100

Sonuçları bekleyin. VM'lerin ne kadar uzakta olduklarına bağlı olarak tamamlanması birkaç dakika sürebilir. Daha uzun testleri çalıştırmadan önce başarı testi yapmak için daha az yinelemeyle başlamayı göz önünde bulundurun.

Linux çalıştıran VM'leri test edin

VM'leri test etmek için SockPerf kullanın.

VM'lere SockPerf yükleme

Linux VM'lerinde (GÖNDEREN ve ALICI), VM'lerinizde SockPerf'i hazırlamak için şu komutları çalıştırın:

RHEL - GIT'i ve diğer yararlı araçları yükleme

sudo yum install gcc -y -q sudo yum install git -y -q sudo yum install gcc-c++ -y sudo yum install ncurses-devel -y sudo yum install -y automake

Ubuntu - GIT'i ve diğer yararlı araçları yükleme

sudo apt-get install build-essential -y sudo apt-get install git -y -q sudo apt-get install -y autotools-dev sudo apt-get install -y automake

Bash - tümü

Bash komut satırından (git'in yüklü olduğunu varsayar)

git clone https://github.com/mellanox/sockperf cd sockperf/ ./autogen.sh ./configure --prefix=

Make daha yavaştır ve birkaç dakika sürebilir

make

Yüklemenin hızlı olmasını sağlama

sudo make install

VM'lerde SockPerf çalıştırma

Yüklemeden sonra örnek komutlar. Sunucu/Alıcı - Sunucunun IP değerinin 10.0.0.4 olduğunu varsayar

sudo sockperf sr --tcp -i 10.0.0.4 -p 12345 --full-rtt

İstemci - sunucunun IP değerinin 10.0.0.4 olduğunu varsayar

sockperf ping-pong -i 10.0.0.4 --tcp -m 1400 -t 101 -p 12345 --full-rtt

Not

VM ile Ağ Geçidi arasında aktarım hızı testi sırasında ara atlamalar (örn. Sanal Gereç) olmadığından emin olun. Yukarıdaki iPERF/NTTTCP testlerinden gelen kötü sonuçlar (genel aktarım hızı açısından) varsa, sorunun olası kök nedenlerinin ardındaki önemli faktörleri anlamak için lütfen bu makaleye bakın:

Özellikle, bu testler sırasında istemciden ve sunucudan paralel olarak toplanan paket yakalama izlemelerinin (Wireshark/Ağ İzleyicisi) analizi, hatalı performans değerlendirmelerine yardımcı olur. Bu izlemeler paket kaybı, yüksek gecikme süresi, MTU boyutu içerebilir. Parçalanma, TCP 0 Penceresi, Sıra Dışı parçalar vb.

Yavaş dosya kopyalama sorunlarını giderme

Önceki adımlarla (iPERF/NTTTCP/vb.) değerlendirilen genel aktarım hızı iyi olsa bile, Windows Gezgini'ni kullanırken veya rdp oturumunda sürükleyip bırakırken yavaş dosyayla başa çıkmayla karşılaşabilirsiniz. Bu sorun normalde aşağıdaki faktörlerden biri veya her ikisi nedeniyle oluşur:

  • Windows Gezgini ve RDP gibi dosya kopyalama uygulamaları, dosyaları kopyalarken birden çok iş parçacığı kullanmaz. Daha iyi performans için, 16 veya 32 iş parçacığı kullanarak dosyaları kopyalamak için Richcopy gibi çok iş parçacıklı bir dosya kopyalama uygulaması kullanın. Richcopy'de dosya kopyalamanın iş parçacığı numarasını değiştirmek için Eylem

    Yavaş dosya kopyalama sorunları

    Not

    Tüm uygulamalar aynı çalışmaz ve tüm uygulama/işlem tüm iş parçacıklarını kullanmaz. Testi çalıştırırsanız bazı iş parçacıklarının boş olduğunu görebilir ve doğru aktarım hızı sonuçları sağlamazsınız. Uygulama dosya aktarım performansınızı denetlemek için, uygulamanın veya dosya aktarımının en uygun aktarım hızını bulmak için iş parçacığının # sayısını art arda artırarak veya azaltarak çok iş parçacığı kullanın.

  • Yetersiz VM disk okuma/yazma hızı. Daha fazla bilgi için bkz . Azure Depolama Sorunlarını Giderme.

Şirket içi cihaz dış kullanıma yönelik arabirim

Azure'ın Yerel Ağ Geçidi üzerindeki VPN aracılığıyla erişmesini istediğiniz şirket içi aralıkların alt ağlarından bahsedildi. Aynı anda Azure'daki sanal ağ adres alanını şirket içi cihaza tanımlayın.

  • Rota Tabanlı Ağ Geçidi: Rota tabanlı VPN'ler için ilke veya trafik seçici herhangi bir noktadan herhangi birine (veya joker karakter) olarak yapılandırılır.

  • İlke Tabanlı Ağ Geçidi: İlke tabanlı VPN'ler, şirket içi ağınızla Azure sanal ağı arasındaki adres ön eklerinin birleşimlerine göre paketleri IPsec tünelleri aracılığıyla şifreler ve yönlendirir. İlke (veya Trafik Seçici) çoğunlukla VPN yapılandırmasında bir erişim listesi olarak tanımlanır.

  • UsePolicyBasedTrafficSelector bağlantıları: ("UsePolicyBasedTrafficSelectors" bir bağlantıda $True azure VPN ağ geçidini şirket içi ilke tabanlı VPN güvenlik duvarına bağlanacak şekilde yapılandırıyor. PolicyBasedTrafficSelectors'ı etkinleştirirseniz, VPN cihazınızın azure sanal ağ ön eklerine ve azure sanal ağ ön eklerinden herhangi birine değil tüm şirket içi ağ (yerel ağ geçidi) ön eklerinin tüm birleşimleriyle tanımlanan eşleşen trafik seçicilerine sahip olduğundan emin olmanız gerekir.

Uygunsuz yapılandırma tünelde sık sık bağlantı kesilmesine, paket bırakmalara, hatalı aktarım hızına ve gecikme süresine neden olabilir.

Gecikme süresini denetleme

Gecikme süresini denetlemek için aşağıdaki araçları kullanabilirsiniz:

  • WinMTR
  • TCPTraceroute
  • ping ve psping (Bu araçlar RTT için iyi bir tahmin sağlayabilir, ancak her durumda kullanılamaz.)

Gecikme Süresini Denetleme

MS Ağ omurgasına girmeden önce atlamaların herhangi birinde yüksek gecikme süresi artışı fark ederseniz, İnternet Servis Sağlayıcınızla ilgili daha fazla araştırma yapmak isteyebilirsiniz.

"msn.net" içindeki atlamalardan büyük ve olağan dışı bir gecikme süresi artışı fark edilirse, daha fazla araştırma için MS desteğine başvurun.

Sonraki adımlar

Daha fazla bilgi veya yardım için aşağıdaki bağlantıya göz atın: