Špatný výkon VPN k Azure - může někdo ověřit mou úvahovou linku?

VPN
1

Ahoj týme, bojoval jsem s dodavatelem, který nás všechno obviňuje za pomalost - říká, že je to naše síť.

Zde jsou FAKTA:
(Všechny testy provedeny mimo pracovní hodiny, žádné zálohy neběží)

Místo A >> IPsec VPN >> Místo B

  • 127Mbps TCP upload
  • 156Mbps TCP download
  • 635Mbps UDP upload
  • 654Mbps UDP download

Místo A >> IPsec VPN >> instance dodavatele Azure

  • 64Mbps TCP upload
  • 284Mbps TCP download
  • 420Mbps UDP upload
  • 483Mbps UDP download

Místo B >> IPsec VPN >> instance dodavatele Azure (stejná instance)

  • 326Mbps TCP upload
  • 278Mbps TCP download
  • 411Mbps UDP upload
  • 461Mbps UDP download

Všechna náš přenášená komunikace je TCP.

Dodavatel tvrdí, že problém je v síti Office A.

Toto je moje argumentace - Office A (moje hlavní místo) může přenést 127Mbps TCP komunikace do Office B přes IPsec tunel. To by mělo znamenat, že minimálně bych měl vidět alespoň 127Mbps z Office A do Azure instance dodavatele. Vím, že náš router dokáže přenést alespoň 127Mbps, ale my jsme schopni přenést jen 56Mbps dodavateli.

Dodavatel tvrdí, že jejich Azure server nemá nastaven aktivní/aktivní VPN, pouze failover. Tvrdí, že v systému nejsou žádné vyvažovače zátěže.

Co mi uniká? Tohle musí být nějaký problém s trasováním mezi ISP a Azure nebo nějaká překážka v Azure prostředí dodavatele, že?

2

Používáte MSS clampování? Jak dlouhá je relace při 64 Mbps uploadu?

3

Máte stejná zařízení v Office A a B? Srovnatelná trasa pomocí traceroute? Jak testujete rychlosti?

4

Je VPN založeno na trase nebo na tunelu?

5

Jaký typ VPN v Azure, jsou nabízeny různé úrovně výkonu? Kolik datových proudů testujete?

6

Jak testujete? Jaké zařízení používáte pro IPsec? Jaké je rychlost vašeho ISP v jednotlivých lokacích? Jaké je RTT mezi A-B, A-Azure, B-Azure gatewayi? Jsou A a B na stejném ISP?

7

Zúžte rozdíly ve vašich dvou pracovních stanicích testovacích kitů :0) zdroj testů :slight_smile:

Pak zúžte rozdíly ve vašich dvou Meraki.

Sázím, že najdete nějaké. Většina problémů podobného rázu pochází z NIC karty a ovladačů, apod. Používáme OpenOnload s Xilinx (dříve Solarflare) kartami a CentOS 7 nebo Alma Linux na novějších strojích…

8

Trochu odlišné. Všechno je stejné přepínání, stejně jsou routery/firewally od téhož výrobce, ale různé modely. Firewalle v Místě A má kapacitu 500Mbps, v Místě B je to 1Gbps.

Oba mají 1Gbit/1Gbit Fiber.

Stejná cesta při traceroute.

Testuju rychlosti z pracovního stanice inženýra pomocí Tamosoft Throughput Test. V podstatě GUI iperf.

9

Testuju rychlosti z pracovního stanice inženýra pomocí Tamosoft Throughput Test. V podstatě GUI iperf.

Zařízení IPsec jsou obě Cisco/Meraki Firewally.

A >> B 64ms, bez ztrát

A >> Azure 13ms, bez ztrát

B >> Azure 81ms, bez ztrát

Obě lokace mají 1Gbit/1Gbit Fiber.

10

Myslím, že jsi na to odpověděl. Zkontroluj pravidla inspekce provozu. Například inspekce provozu od A do Amazonu, ale ne od A do B. To je pravděpodobně něco takového.

11

Možná to není tvoje přímé problém, ale nepomáhá, že tvé firewally jsou nedostatečně kapacitní.

Pro 1G/1G linku potřebuješ firewall s kapacitou 2Gbps throughput. Hodnoty throughput jsou uváděny v jednoduché (simplex) konfiguraci, nikoli duplexy.

12

Nastavil jsi MTU na 1400 a MSS na 1350? Azure to doporučuje pro Site-to-Site VPNs.

13

Jen znovu kontroluji, že používáš kabelové připojení. Pravděpodobně ano. Jaké jsou modely Meraki, které jsou ve stejných lokacích A a B?

14

Nejsem si jistý, jestli to můžeš nastavit na Meraki firewallech