状況
国内のVPNソリューションのユーザーは、安定性と使いやすさに不満を持っています。エンジニアとして、ユーザーの問題の根源を探しています。
国内のVPNはコーヒーのようなものです。コーヒーの味と香りがバリスタの才能に依存するように、VPNソリューションには適切な準備が必要です。C-Terra VPNの例を使用して、ユーザーが不満を言っていることと、それを回避する方法を示します。
初期データ
500人の従業員を遠隔地の仕事に移さなければなりません。このために、私はC-TerraVPNバージョン4.3を使用します。VPN製品から、センターへのS-Terra Gatewayと、従業員のラップトップ用のS-TerraClientクライアントソフトウェアが必要です。
S-TerraGatewayはRAVPNにのみ使用しています。500人のユーザー全員が同時にゲートウェイに接続します。
額の決定
IKE / IPsecアーキテクチャでは、1つのクライアント接続は別個のトンネルと見なされます。つまり、500個のトンネルを同時にサポートできるゲートウェイが必要です。ベンダーのWebサイトを開くと、次の3つのモデルが適していることがわかります。
|
セキュリティゲートウェイモデル |
同時に動作するトンネルの数 |
| S-Terra Gateway 2000
|
500
|
| S-Terra Gateway 3000
|
1000
|
| S-Terra Gateway 7000
|
無制限
|
お金を節約したいので、C-Terra Gateway2000を利用してください。私は静かに世界を嫌い始めます。
石
1.500のトンネルを構築するには時間がかかります。ユーザーには、「このEsteraは初めて接続することはなく、実際には接続しない」というようなものが表示されます。
RAVPNのC-TerraGatewayは、クライアント接続へのレスポンダーとして機能します。私の観察によれば、1秒あたり約10個のトンネルが構築されます(検討対象の
ゲートウェイモデルの平均値)。したがって、500個のトンネルを構築するのに50秒かかり、正直な1分に切り上げられます。
私たちのユーザーは運が悪いです。ユーザーがゲートウェイに接続するたびに、ユーザーはキューに入れられます。最大60秒待つ必要があります。アクティブなユーザーは、クライアントを再起動して再接続しようとしますが、キューの最後に到達します。そのような状況では待つのが最善であることをユーザーに指示します。
Stone 2. IPsecトンネルは定期的に再構築され
ますユーザーにとっては、「このEsteraは定期的に切断され、最初は再接続されません!」のようになります。
IPsecトンネルの寿命は、トラフィックの量または時間のいずれかによって制限されます。ときに
トンネルが再構築され、新しいセッション対称暗号鍵が生成されます。
ここで想像してみてください-トンネルはプラスまたはマイナスを同時に再構築することを決定しました。再びキューと呪い。これを回避するには、セキュリティゲートウェイにデルタ(DELTA)を設定する必要があります。これにより、各トンネルの寿命がランダムに変更されます。
Stone 3.セキュリティゲートウェイは暗号化のパフォーマンスに制限が
あります。ベンダーのWebサイトを開いて、次を参照してください。
|
セキュリティゲートウェイモデル |
最大
暗号化パフォーマンス、Mbps |
パフォーマンス
IMIX暗号化Mbit / s |
| S-Terra Gateway 2000
|
380
|
250
|
| S-Terra Gateway 3000
|
1550
|
1180
|
| S-Terra Gateway 7000
|
3080
|
2030
|
どのパフォーマンスに焦点を当てるべきですか?
IMIXについて。原則として、最大の暗号化パフォーマンスは
大きなパケットで達成されます。実際のネットワークにはほとんど適用できません。
ドロップ、不安定な作業、および切断を回避するには、1つのクライアント接続によって生成される平均トラフィック量を見積もる必要があります。たとえば、私のユーザーはRDP、メール、ワークフローを使用しています。接続あたりの平均トラフィックは2Mbpsと推定しています。私は合計1000Mbpsを持っています。接続あたり1Mbit / sのピーク負荷の場合にマージンを追加します。合計で、500の同時接続のピークで1500 Mbit / sを取得します。
S-Terra Gateway2000を拒否します。私はS-TerraGateway 7000に目を向けてい
ます。正面からの解決策:S-Terra Gateway7000および500クライアント。
ソリューションの最適化
フォールトトレラントなソリューションと、キューでの待機時間を短縮したい。このために、私はオプションを検討しています。
2つのS-TerraGateway 3000
クライアントを半分に、それぞれ250接続でアンバランスします。キュー内の最大待機時間は、最初の接続で250/10約25秒になります。DELTAを設定することで、トンネルを再構築するときのキューの問題を解決できます。ゲートウェイの1つに障害が発生した場合、負荷は2番目のゲートウェイに移動します(パフォーマンスマージンはありませんが)。 最大のパフォーマンスを実現する
5つのS-TerraGateway2000
ソリューション。ゲートウェイごとに100のクライアント接続、最大キュー時間は10秒ですが、パフォーマンスのヘッドルームはありません。
S-Terraの価格表は公開されています。与えられたソリューションのコストを比較します(ドルレートは73ルーブルかかりました):
| 決定
|
価格、こすり
|
| S-Terra Gateway 7000
+500クライアント |
4 533 270
|
| 2 x S-Terra Gateway
3000 +500クライアント |
4 564 680
|
| 5 x S-Terra Gateway
2000 +500クライアント |
4980300
|
2番目のオプションを選択します。2つのS-TerraGateway3000および500クライアント。耐障害性とキューイング時間の短縮のための31,000ルーブルは良い価格です。必要に応じて、ベンダーの制御システムはオプションです。
結果
おいしいRAVPNのレシピ:
- クライアント接続の数を決定します。
- クライアント接続からの平均トラフィック量を見積もります。
- 複数のゲートウェイ間でクライアント接続のバランスを取ります。
- アーキテクチャ上の考慮事項(キューイングと再構築)を検討してください。
学生が言うように、ラウンド!
匿名エンジニア
t.me/anonimous.engineer