مطبات VPN المحلية للوصول عن بُعد أو كيفية جعلها مستقرة

موقف

يشتكي مستخدمو حلول VPN المحلية من الاستقرار وسهولة الاستخدام. بصفتي مهندسًا ، أبحث عن جذر مشاكل المستخدم.



VPN المحلية مثل القهوة. مثلما يعتمد مذاق ورائحة القهوة على موهبة صانع القهوة ، تتطلب حلول VPN الإعداد الصحيح. باستخدام مثال C-Terra VPN ، سأعرض ما يشكو المستخدمون منه وكيفية تجنبه.

بيانات أولية

لا بد لي من نقل 500 موظف إلى العمل عن بعد. لهذا أستخدم C-Terra VPN الإصدار 4.3. من منتجات VPN ، أحتاج إلى S-Terra Gateway إلى المركز وبرنامج عميل S-Terra Client لأجهزة الكمبيوتر المحمولة للموظفين.



أستخدم بوابة S-Terra فقط مع RA VPN. يتصل جميع المستخدمين البالغ عددهم 500 مستخدم بالبوابة في نفس الوقت.

قرار في الجبين

في بنية IKE / IPsec ، يعتبر اتصال عميل واحد نفقًا منفصلاً. هذا يعني أنني بحاجة إلى بوابة قادرة على دعم 500 نفق في نفس الوقت. أفتح موقع البائع وأرى أن ثلاثة نماذج مناسبة لي:





أريد أن أدخر بعض المال ، خذ C-Terra Gateway 2000. بدأت أكره العالم بهدوء.



الحجر 1. يستغرق بناء 500 نفق وقتًا ،



وسيأتي المستخدم بشيء مثل هذا: "لا تتصل Estera هذه أبدًا في المرة الأولى أبدًا!"



تعمل C-Terra Gateway في RA VPN كمستجيب لاتصالات العميل. وفقًا لملاحظاتي ، يتم بناء حوالي 10 أنفاق في الثانية (متوسط ​​القيمة

لنماذج البوابة المدروسة ). وبناءً على ذلك ، سيستغرق بناء 500 نفق 50 ثانية ، حتى الدقيقة الدقيقة.



مستخدمنا لم يحالفه الحظ. في كل مرة يتصل فيها المستخدم بالبوابة ، يتم وضع المستخدم في قائمة الانتظار. أنت بحاجة إلى الانتظار حتى 60 ثانية. سيحاول المستخدم النشط إعادة تشغيل العميل وبالتالي إعادة الاتصال ، ولكن سينتهي به الأمر في نهاية قائمة الانتظار. وجّه المستخدم إلى أنه من الأفضل الانتظار في مثل هذه المواقف.



الحجر 2. يتم إعادة بناء أنفاق IPsec بشكل دوري



بالنسبة للمستخدم يبدو كالتالي: "تسقط Estera بشكل دوري ولا تتصل مرة أخرى في المرة الأولى!"



يقتصر عمر نفق IPsec إما على مقدار حركة المرور أو الوقت. عندما

يتم إعادة بناء النفق ، يتم إنشاء مفتاح تشفير متماثل جديد للجلسة.



تخيل الآن - قررت الأنفاق إعادة بناء زائد أو ناقص في نفس الوقت. مرة أخرى قائمة الانتظار والشتائم. لتجنب ذلك ، يجب تعيين دلتا (DELTA) على بوابة الأمان ، والتي ستغير بشكل عشوائي عمر كل من الأنفاق.



الحجر 3. بوابات الأمان محدودة في أداء التشفير ،



أفتح موقع البائع وأرى:



ما هو الأداء الذي يجب أن تركز عليه؟



على IMIX. يتم تحقيق أقصى أداء تشفير ، كقاعدة عامة ، على

الحزم الكبيرة ؛ لا يكاد ينطبق على شبكة حقيقية.



لتجنب حالات السقوط والعمل غير المستقر وانقطاع الاتصال ، تحتاج إلى تقدير متوسط ​​حجم حركة المرور الناتج عن اتصال عميل واحد. على سبيل المثال ، يستخدم المستخدمون RDP والبريد وسير العمل. أقدر حركة المرور بمعدل 2 ميغا بت في الثانية في المتوسط ​​لكل اتصال. لدي إجمالي 1000 ميجابت في الثانية. سأضيف هامشًا في حالة تحميل ذروة 1 ميجابت / ثانية لكل اتصال ، في المجموع أحصل على 1500 ميجابت / ثانية في الذروة لـ 500 اتصال متزامن.



أرفض S-Terra Gateway 2000. إنني أتطلع إلى S-Terra Gateway 7000.



حل مباشر : S-Terra Gateway 7000 و 500 عميل.

تحسين الحل

أريد حلاً يتسامح مع الأخطاء وأيضًا تقليل وقت الانتظار في قائمة الانتظار. لهذا ، أنا أفكر في الخيارات.



سأقوم



بإلغاء التوازن بين اثنين من عملاء S-Terra Gateway 3000 في النصف ، كل 250 وصلة. سيكون الحد الأقصى لوقت الانتظار في قائمة الانتظار 250/10 حوالي 25 ثانية عند أول اتصال. سأحل مشكلة قوائم الانتظار عند إعادة بناء الأنفاق عن طريق ضبط DELTA. في حالة فشل إحدى البوابات ، سينتقل الحمل إلى البوابة الثانية (وإن كان ذلك بدون هامش أداء).



خمسة



حلول S-Terra Gateway 2000 لأقصى أداء. 100 اتصال عميل لكل بوابة ، وأقصى وقت انتظار مدته 10 ثوانٍ ، ولكن لا يوجد ارتفاع في الأداء.



قائمة أسعار S-Terra مفتوحة. سأقارن تكلفة الحلول المقدمة (سعر الدولار أخذ 73 روبل):





سأختار الخيار الثاني. اثنان من S-Terra Gateway 3000 و 500 عميل. 31000 روبل للتسامح مع الخطأ وتقليل وقت الانتظار هو سعر جيد. نظام مراقبة البائع اختياري ، إذا كنت تريد - خذها.

النتيجة

وصفة RA VPN لذيذة:

• تحديد عدد اتصالات العميل:
• تقدير متوسط ​​حجم حركة المرور من اتصال العميل ؛
• موازنة اتصالات العميل عبر بوابات متعددة ؛ 
• ضع في اعتبارك الاعتبارات المعمارية (الطابور وإعادة البناء).

كما يقول الطالب ، الجولة!



مهندس مجهول

t.me/anonimous.engineer