Lage
Benutzer von inländischen VPN-Lösungen beschweren sich über die Stabilität und Benutzerfreundlichkeit. Als Ingenieur suche ich nach der Wurzel von Benutzerproblemen.
Inländisches VPN ist wie Kaffee. So wie der Geschmack und das Aroma von Kaffee vom Talent des Barista abhängen, erfordern VPN-Lösungen die richtige Vorbereitung. Am Beispiel von C-Terra VPN werde ich zeigen, worüber sich Benutzer beschweren und wie dies vermieden werden kann.
Ausgangsdaten
Ich muss 500 Mitarbeiter in die Fernarbeit versetzen. Dafür verwende ich C-Terra VPN Version 4.3. Von VPN-Produkten benötige ich S-Terra Gateway zum Center und S-Terra Client-Client-Software für die Laptops der Mitarbeiter.
Ich verwende S-Terra Gateway nur für RA VPN. Alle 500 Benutzer stellen gleichzeitig eine Verbindung zum Gateway her.
Entscheidung in der Stirn
In der IKE / IPsec-Architektur wird eine Clientverbindung als separater Tunnel betrachtet. Das heißt, ich brauche ein Gateway, das 500 Tunnel gleichzeitig unterstützen kann. Ich öffne die Website des Anbieters und sehe, dass drei Modelle für mich geeignet sind:
|
Sicherheitsgateway- Modell |
Anzahl
gleichzeitig arbeitender Tunnel |
| S-Terra Gateway 2000
|
500
|
| S-Terra Gateway 3000
|
1000
|
| S-Terra Gateway 7000
|
Nicht limitiert
|
Ich möchte etwas Geld sparen, das C-Terra Gateway 2000 nehmen. Ich fange leise an, die Welt zu hassen.
Stein 1. Es braucht Zeit, um 500 Tunnel zu bauen. Der
Benutzer wird mit so etwas kommen: "Diese Estera verbindet sich nie beim ersten Mal, nie wirklich!"
C-Terra Gateway in RA VPN fungiert als Antwort auf Clientverbindungen. Nach meinen Beobachtungen werden ungefähr 10 Tunnel pro Sekunde gebaut (Durchschnittswert für die betrachteten
Gateway-Modelle). Dementsprechend dauert der Bau von 500 Tunneln 50 Sekunden, bis zu einer ehrlichen Minute.
Unser Benutzer hat kein Glück. Jedes Mal, wenn ein Benutzer eine Verbindung zum Gateway herstellt, wird der Benutzer in die Warteschlange gestellt. Sie müssen bis zu 60 Sekunden warten. Der aktive Benutzer versucht, den Client neu zu starten und somit die Verbindung wiederherzustellen, landet jedoch am Ende der Warteschlange. Weisen Sie den Benutzer an, in solchen Situationen am besten zu warten.
Stone 2. IPSec-Tunnel werden regelmäßig neu aufgebaut.
Für den Benutzer sieht es ungefähr so aus: "Diese Estera fällt regelmäßig ab und stellt beim ersten Mal keine Verbindung mehr her!"
Die Lebensdauer eines IPSec-Tunnels ist entweder durch den Datenverkehr oder die Zeit begrenzt. Wenn
der Tunnel neu erstellt wird, wird ein neuer sitzungssymmetrischer Verschlüsselungsschlüssel generiert.
Stellen Sie sich nun vor - die Tunnel haben beschlossen, gleichzeitig Plus oder Minus wieder aufzubauen. Wieder Schlange und Flüche. Um dies zu vermeiden, muss auf dem Sicherheitsgateway ein Delta (DELTA) festgelegt werden, das die Lebensdauer jedes Tunnels zufällig ändert.
Stone 3. Sicherheitsgateways haben eine eingeschränkte Verschlüsselungsleistung. Ich
öffne die Website des Anbieters und sehe:
|
Sicherheitsgateway- Modell |
Maximale
Verschlüsselungsleistung, Mbit / s |
Leistung
IMIX-Verschlüsselung Mbit / s |
| S-Terra Gateway 2000
|
380
|
250
|
| S-Terra Gateway 3000
|
1550
|
1180
|
| S-Terra Gateway 7000
|
3080
|
2030
|
Auf welche Leistung sollten Sie sich konzentrieren?
Unter IMIX. Die maximale Verschlüsselungsleistung wird in der Regel bei
großen Paketen erreicht, sie ist auf ein reales Netzwerk kaum anwendbar.
Um Stürze, instabile Arbeit und Verbindungsabbrüche zu vermeiden, müssen Sie das durchschnittliche Verkehrsaufkommen schätzen, das von einer Clientverbindung generiert wird. Zum Beispiel verwenden meine Benutzer RDP, Mail und Workflow. Ich schätze den Datenverkehr pro Verbindung auf durchschnittlich 2 Mbit / s. Ich habe insgesamt 1000 Mbit / s. Bei einer Spitzenlast von 1 Mbit / s pro Verbindung werde ich einen Spielraum hinzufügen. Insgesamt erhalte ich bei 500 Spitzenverbindungen 1500 Mbit / s an der Spitze.
Ich lehne S-Terra Gateway 2000 ab. Ich schaue auf S-Terra Gateway 7000.
Eine direkte Lösung: S-Terra Gateway 7000 und 500 Clients.
Die Lösung optimieren
Ich möchte eine fehlertolerante Lösung sowie eine Verkürzung der Wartezeit in der Warteschlange. Dafür erwäge ich Optionen.
Ich werde zwei S-Terra Gateway 3000-
Clients in zwei Hälften mit jeweils 250 Verbindungen aus dem Gleichgewicht bringen. Die maximale Wartezeit in der Warteschlange beträgt 250/10, ungefähr 25 Sekunden bei der ersten Verbindung. Ich kann das Problem mit Warteschlangen beim Wiederaufbau von Tunneln lösen, indem ich DELTA setze. Bei einem Ausfall eines der Gateways wird die Last zum zweiten Gateway verschoben (allerdings ohne Leistungsspielraum).
Fünf S-Terra Gateway 2000-
Lösungen für maximale Leistung. 100 Clientverbindungen pro Gateway, maximale Warteschlangenzeit von 10 Sekunden, aber kein Leistungsspielraum.
Die Preisliste von S-Terra ist offen. Ich werde die Kosten der angegebenen Lösungen vergleichen (der Dollarkurs betrug 73 Rubel):
| Entscheidung
|
Preis, reiben
|
| S-Terra Gateway 7000
+ 500 Clients |
4 533 270
|
| 2 x S-Terra Gateway
3000 + 500 Clients |
4 564 680
|
| 5 x S-Terra Gateway
2000 + 500 Clients |
4980300
|
Ich werde die zweite Option wählen. Zwei S-Terra Gateway 3000- und 500-Clients. 31.000 Rubel für Fehlertoleranz und reduzierte Wartezeiten sind ein guter Preis. Das Steuerungssystem des Anbieters ist optional, wenn Sie möchten - nehmen Sie es.
Ergebnis
Das Rezept für ein leckeres RA VPN:
- Bestimmen Sie die Anzahl der Clientverbindungen:
- Schätzen Sie das durchschnittliche Verkehrsaufkommen über eine Clientverbindung.
- Clientverbindungen über mehrere Gateways hinweg ausgleichen;
- Berücksichtigen Sie architektonische Überlegungen (Warteschlangen und Wiederaufbau).
Wie der Student sagt, rund!
Anonymer Ingenieur
t.me/anonimous.engineer