Windows Server 2019-GatewayleistungWindows Server 2019 Gateway Performance

Gilt für: Windows Server 2019Applies to: Windows Server 2019

In Windows Server 2016 war eines der Kunden Bedenken, dass das Sdn-Gateway die Durchsatzanforderungen moderner Netzwerke nicht erfüllen konnte.In Windows Server 2016, one of the customer concerns was the inability of SDN gateway to meet the throughput requirements of modern networks. Der Netzwerk Durchsatz der IPSec-und GRE-Tunnel wies Beschränkungen mit dem einzelnen Verbindungs Durchsatz für IPSec-Konnektivität von etwa 300 Mbit/s und für GRE-Konnektivität etwa 2,5 Gbit/s auf.The network throughput of IPsec and GRE tunnels had limitations with the single connection throughput for IPsec connectivity being about 300 Mbps and for GRE connectivity being about 2.5 Gbps.

Wir haben sich in Windows Server 2019 erheblich verbessert, wobei die Zahlen auf 1,8 Gbit/s und 15 Gbit/s für IPSec-bzw. gre-Verbindungen steigen.We have improved significantly in Windows Server 2019, with the numbers soaring to 1.8 Gbps and 15 Gbps for IPsec and GRE connections, respectively. All dies mit erheblichen Reduzierungen in den CPU-Zyklen pro Byte, wodurch ein extrem leistungsstarker Durchsatz mit einer deutlich geringeren CPU-Auslastung erzielt wird.All this, with significant reductions in the CPU cycles/per byte, thereby providing ultra-high-performance throughput with much less CPU utilization.

Aktivieren der hohen Leistung mit Gateways in Windows Server 2019Enable high performance with gateways in Windows Server 2019

Bei GRE-Verbindungen sollte die verbesserte Leistung automatisch angezeigt werden, sobald Sie Windows Server 2019-Builds auf den Gateway-VMS bereitstellen bzw. ein Upgrade darauf durchführen.For GRE connections, once you deploy/upgrade to Windows Server 2019 builds on the gateway VMs, you should automatically see the improved performance. Es sind keine manuellen Schritte erforderlich.No manual steps are involved.

Bei IPSec-Verbindungen erhalten Sie standardmäßig den Windows Server 2016-Datenpfad und die Leistungs Nummern, wenn Sie die Verbindung für Ihre virtuellen Netzwerke erstellen.For IPsec connections, by default, when you create the connection for your virtual networks, you get the Windows Server 2016 data path and performance numbers. Gehen Sie folgendermaßen vor, um den Windows Server 2019-Datenpfad zu aktivieren:To enable the Windows Server 2019 data path, do the following:

  1. Wechseln Sie auf einer Sdn-Gateway-VM zu Dienste Konsole (Services. msc).On an SDN gateway VM, go to Services console (services.msc).
  2. Suchen Sie nach dem Dienst mit dem Namen Azure Gateway Service, und legen Sie den Starttyp auf automatisch fest.Find the service named Azure Gateway Service, and set the startup type to Automatic.
  3. Starten Sie die Gateway-VM neu.Restart the gateway VM. Die aktiven Verbindungen auf diesem Gateway-Failover auf eine redundante Gateway-VM.The active connections on this gateway failover to a redundant gateway VM.
  4. Wiederholen Sie die vorherigen Schritte für den Rest der Gateway-VMS.Repeat the previous steps for rest of the gateway VMs.

Tipp

Um die besten Ergebnisse zu erzielen, stellen Sie sicher, dass die Eigenschaften "ciphertransformationconstant" und "authenticationtransformconstant" in den Schnellmodus-Einstellungen der IPSec-Verbindung die GCMAES256 Verschlüsselungs Suite verwenden.For the best performance results, ensure that the cipherTransformationConstant and authenticationTransformConstant in quickMode settings of the IPsec connection uses the GCMAES256 cipher suite.

Um die maximale Leistung zu erzielen, muss die gatewayhosthardware die CPU-Anweisungs Sätze AES-NI und Pclmulqdq unterstützen.For maximum performance, the gateway host hardware must support AES-NI and PCLMULQDQ CPU instruction sets. Diese sind für alle Westmere (32nm) und spätere Intel CPU verfügbar, außer bei Modellen, in denen AES-NI deaktiviert wurde.These are available on any Westmere (32nm) and later Intel CPU except on models where AES-NI has been disabled. Sie können sich die Hardwarehersteller Dokumentation ansehen, um festzustellen, ob die CPU AES-NI-und Pclmulqdq-CPU-Anweisungs Sätze unterstützt.You can look at your hardware vendor documentation to see if the CPU supports AES-NI and PCLMULQDQ CPU instruction sets.

Im folgenden finden Sie ein Rest-Beispiel für eine IPSec-Verbindung mit optimalen Sicherheits Algorithmen:Below is a REST sample of IPsec connection with optimal security algorithms:

# NOTE: The virtual gateway must be created before creating the IPsec connection. More details here.
# Create a new object for Tenant Network IPsec Connection
$nwConnectionProperties = New-Object Microsoft.Windows.NetworkController.NetworkConnectionProperties

# Update the common object properties
$nwConnectionProperties.ConnectionType = "IPSec"
$nwConnectionProperties.OutboundKiloBitsPerSecond = 2000000
$nwConnectionProperties.InboundKiloBitsPerSecond = 2000000

# Update specific properties depending on the Connection Type
$nwConnectionProperties.IpSecConfiguration = New-Object Microsoft.Windows.NetworkController.IpSecConfiguration
$nwConnectionProperties.IpSecConfiguration.AuthenticationMethod = "PSK"
$nwConnectionProperties.IpSecConfiguration.SharedSecret = "111_aaa"

$nwConnectionProperties.IpSecConfiguration.QuickMode = New-Object Microsoft.Windows.NetworkController.QuickMode
$nwConnectionProperties.IpSecConfiguration.QuickMode.PerfectForwardSecrecy = "PFS2048"
$nwConnectionProperties.IpSecConfiguration.QuickMode.AuthenticationTransformationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.CipherTransformationConstant = "GCMAES256"
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeSeconds = 3600
$nwConnectionProperties.IpSecConfiguration.QuickMode.IdleDisconnectSeconds = 500
$nwConnectionProperties.IpSecConfiguration.QuickMode.SALifeTimeKiloBytes = 2000

$nwConnectionProperties.IpSecConfiguration.MainMode = New-Object Microsoft.Windows.NetworkController.MainMode
$nwConnectionProperties.IpSecConfiguration.MainMode.DiffieHellmanGroup = "Group2"
$nwConnectionProperties.IpSecConfiguration.MainMode.IntegrityAlgorithm = "SHA256"
$nwConnectionProperties.IpSecConfiguration.MainMode.EncryptionAlgorithm = "AES256"
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeSeconds = 28800
$nwConnectionProperties.IpSecConfiguration.MainMode.SALifeTimeKiloBytes = 2000

# L3 specific configuration (leave blank for IPSec)
$nwConnectionProperties.IPAddresses = @()
$nwConnectionProperties.PeerIPAddresses = @()

# Update the IPv4 Routes that are reachable over the site-to-site VPN Tunnel
$nwConnectionProperties.Routes = @()
$ipv4Route = New-Object Microsoft.Windows.NetworkController.RouteInfo
$ipv4Route.DestinationPrefix = "<<On premise subnet that must be reachable over the VPN tunnel. Ex: 10.0.0.0/24>>"
$ipv4Route.metric = 10
$nwConnectionProperties.Routes += $ipv4Route

# Tunnel Destination (Remote Endpoint) Address
$nwConnectionProperties.DestinationIPAddress = "<<Public IP address of the On-Premise VPN gateway. Ex: 192.168.3.4>>"

# Add the new Network Connection for the tenant. Note that the virtual gateway must be created before creating the IPsec connection. $uri is the REST URI of your deployment and must be in the form of “https://<REST URI>”
New-NetworkControllerVirtualGatewayNetworkConnection -ConnectionUri $uri -VirtualGatewayId $virtualGW.ResourceId -ResourceId "Contoso_IPSecGW" -Properties $nwConnectionProperties -Force

TestergebnisseTesting Results

Wir haben in unseren Testlabors umfassende Leistungstests für die Sdn-Gateways durchgeführt.We have done extensive performance testing for the SDN gateways in our test labs. In den Tests haben wir die gatewaynetzwerkleistung mit Windows Server 2019 in Sdn-Szenarien und nicht-Sdn-Szenarios verglichen.In the tests, we have compared gateway network performance with Windows Server 2019 in SDN scenarios and non-SDN scenarios. Die im Blog Artikel erfassten Ergebnisse und Test Setup Details finden Sie hier.You can find the results and test setup details captured in the blog article here.