情况
家用VPN解决方案的用户抱怨其稳定性和易用性。作为工程师,我正在寻找用户问题的根源。
国内VPN就像咖啡。正如咖啡的味道和香气取决于咖啡师的才能一样,VPN解决方案也需要正确的准备。以C-Terra VPN为例,我将展示用户在抱怨什么以及如何避免它。
初始数据
我必须将500名员工转移到远程工作。为此,我使用C-Terra VPN版本4.3。从VPN产品中,我需要S-Terra网关到中心和用于员工笔记本电脑的S-Terra Client客户端软件。
我仅将S-Terra网关用于RA VPN。所有500个用户同时连接到网关。
前额决定
在IKE / IPsec体系结构中,一个客户端连接被视为单独的隧道。这意味着我需要一个能够同时支持500个隧道的网关。我打开供应商的网站,发现三种型号适合我:
|
安全网关模型 |
数
同时运行的隧道 |
| S-Terra网关2000
|
500
|
| S-Terra网关3000
|
1000
|
| S-Terra网关7000
|
不限
|
我想省些钱,以C-Terra Gateway 2000为例。我悄悄地开始讨厌世界。
Stone 1.建造500条隧道需要花费时间,
用户会得到类似这样的信息:“这个Estera从来没有第一次连接,从来没有真正连接过!”
RA VPN中的C-Terra网关充当客户端连接的响应者。根据我的观察,每秒大约建立10条隧道(考虑的
网关模型的平均值)。因此,建造500条隧道将花费50秒,大约是一分钟。
我们的用户不走运。每次用户连接到网关时,该用户都会排队。您最多需要等待60秒。活动用户将尝试重新启动客户端,从而重新连接,但最终将在队列末尾。指导用户在这种情况下最好等待。
Stone 2.定期重建IPsec隧道
对于用户来说,它看起来像这样:“此Estera定期掉线,并且第一次不连接!”
IPsec隧道的生存期受到流量或时间的限制。当
隧道重建,生成一个新的会话对称加密密钥。
现在想象-隧道决定同时重建正负。再次排队和诅咒。为了避免这种情况,必须在安全网关上设置一个增量(DELTA),这将随机更改每个隧道的生存期。
Stone 3.安全网关的加密性能受到限制。我
打开供应商的网站,然后看到:
|
安全网关模型 |
最高
加密性能,Mbps |
性能
IMIX加密Mbit / s |
| S-Terra网关2000
|
380
|
250
|
| S-Terra网关3000
|
1550
|
1180
|
| S-Terra网关7000
|
3080
|
2030年
|
您应该关注什么表现?
在IMIX上。通常,最大的加密性能是在
大型数据包上实现的;它几乎不适用于实际网络。
为避免掉线,工作不稳定和断开连接,您需要估计一个客户端连接产生的平均流量。例如,我的用户使用RDP,邮件和工作流程。我估计每个连接的平均流量为2Mbps。我总共有1000 Mbps。如果每个连接的峰值负载为1 Mbit / s,我将增加一个余量,对于500个同时连接的峰值,我总共将获得1500 Mbit / s。
我拒绝使用S-Terra Gateway 2000。我期待S-Terra Gateway7000。
一个正面解决方案:S-Terra Gateway 7000和500个客户端。
优化解决方案
我想要一个容错解决方案,并减少队列中的等待时间。为此,我正在考虑选择。
我将
一半的两个S-Terra Gateway 3000客户端不平衡,每个250个连接。首次连接时,队列中的最长等待时间将为250/10大约25秒。通过设置DELTA重建隧道时,我将解决队列问题。如果其中一个网关发生故障,则负载将移至第二个网关(尽管没有性能裕量)。
五个S-Terra Gateway 2000
解决方案,可实现最佳性能。每个网关100个客户端连接,最大队列时间为10秒,但没有性能提升空间。
S-Terra的价目表已经打开。我将比较给出的解决方案的成本(美元汇率为73卢布):
| 决断
|
价格,擦
|
| S-Terra Gateway 7000
+ 500个客户端 |
4533270
|
| 2个S-Terra Gateway
3000 + 500个客户端 |
4564680
|
| 5个S-Terra Gateway
2000 + 500个客户端 |
4980300
|
我将选择第二个选项。两个S-Terra Gateway 3000和500个客户端。31,000卢布的容错能力和减少的排队时间是一个不错的价格。如果需要,供应商的控制系统是可选的-采取它。
结果
美味的RA VPN的配方:
- 确定客户端连接数:
- 估计来自客户端连接的平均流量;
- 平衡多个网关之间的客户端连接;
- 考虑架构方面的考虑(排队和重建)。
正如学生所说,圆!
匿名工程师
t.me/anonimous.engineer