Situasi
Pengguna solusi VPN domestik mengeluhkan stabilitas dan kemudahan penggunaan. Sebagai seorang insinyur, saya mencari akar masalah pengguna.
VPN domestik seperti kopi. Sama seperti rasa dan aroma kopi yang bergantung pada bakat barista, solusi VPN memerlukan persiapan yang tepat. Menggunakan contoh C-Terra VPN, saya akan menunjukkan apa yang dikeluhkan pengguna dan bagaimana menghindarinya.
Data awal
Saya harus memindahkan 500 karyawan ke pekerjaan jarak jauh. Untuk ini saya menggunakan C-Terra VPN versi 4.3. Dari produk VPN, saya membutuhkan S-Terra Gateway untuk pusat dan perangkat lunak klien S-Terra Client untuk laptop karyawan.
Saya menggunakan S-Terra Gateway hanya untuk RA VPN. Semua 500 pengguna terhubung ke gateway pada saat yang bersamaan.
Keputusan langsung
Dalam arsitektur IKE / IPsec, satu koneksi klien dianggap sebagai terowongan terpisah. Ini berarti saya membutuhkan gateway yang mampu mendukung 500 terowongan pada saat yang bersamaan. Saya membuka situs web vendor dan melihat bahwa tiga model cocok untuk saya:
| Model Gerbang
Keamanan |
Jumlah
terowongan yang beroperasi secara bersamaan |
| S-Terra Gateway 2000
|
500
|
| S-Terra Gateway 3000
|
1000
|
| S-Terra Gateway 7000
|
Tidak terbatas
|
Saya ingin menghemat uang, ambil C-Terra Gateway 2000. Saya diam-diam mulai membenci dunia.
Stone 1. Butuh waktu untuk membangun 500 terowongan.
Pengguna akan mendapatkan sesuatu seperti ini: "Estera ini tidak pernah terhubung pertama kali, tidak pernah benar-benar!"
C-Terra Gateway di RA VPN berfungsi sebagai penjawab koneksi klien. Menurut pengamatan saya, sekitar 10 terowongan dibangun per detik (nilai rata-rata untuk
model gerbang yang dipertimbangkan ). Oleh karena itu, dibutuhkan waktu 50 detik untuk membangun 500 terowongan, dibulatkan menjadi satu menit.
Pengguna kami kurang beruntung. Setiap kali pengguna terhubung ke gateway, pengguna akan diantrekan. Anda harus menunggu hingga 60 detik. Pengguna aktif akan mencoba memulai ulang klien dan menyambungkan kembali, tetapi akan berakhir di akhir antrian. Instruksikan kepada pengguna bahwa lebih baik menunggu dalam situasi seperti itu.
Batu 2. Terowongan IPsec secara berkala dibangun kembali
Untuk pengguna akan terlihat seperti ini: "Estera ini secara berkala jatuh dan tidak terhubung lagi untuk pertama kali!"
Umur terowongan IPsec dibatasi oleh jumlah lalu lintas atau waktu. Saat
terowongan dibangun kembali, kunci enkripsi simetris sesi baru dibuat.
Sekarang bayangkan - terowongan memutuskan untuk membangun kembali plus atau minus pada saat yang bersamaan. Sekali lagi antri dan kutukan. Untuk menghindari hal ini, sebuah delta (DELTA) harus diatur di Security Gateway, yang secara acak akan mengubah masa hidup setiap terowongan.
Batu 3. Gerbang keamanan terbatas dalam kinerja enkripsi. Saya
membuka situs web vendor dan melihat:
| Model Gerbang
Keamanan |
Performa enkripsi maksimum , Mbps |
Kinerja
enkripsi IMIX Mbit / s |
| S-Terra Gateway 2000
|
380
|
250
|
| S-Terra Gateway 3000
|
1550
|
1180
|
| S-Terra Gateway 7000
|
3080
|
2030
|
Kinerja apa yang harus Anda fokuskan?
Di IMIX. Kinerja enkripsi maksimum, sebagai suatu peraturan, dicapai pada
paket besar; ini hampir tidak dapat diterapkan pada jaringan nyata.
Untuk menghindari penurunan, pekerjaan yang tidak stabil dan pemutusan hubungan, Anda perlu memperkirakan berapa volume lalu lintas rata-rata yang dihasilkan oleh satu koneksi klien. Misalnya, pengguna saya menggunakan RDP, email, dan alur kerja. Saya memperkirakan lalu lintas rata-rata pada 2Mbps per koneksi. Saya memiliki total 1000 Mbps. Saya akan menambahkan margin jika beban puncak 1 Mbit / s per koneksi, total saya mendapatkan 1500 Mbit / dtk di puncak untuk 500 koneksi simultan.
Saya menolak S-Terra Gateway 2000. Saya melihat ke arah S-Terra Gateway 7000.
Solusi langsung: S-Terra Gateway 7000 dan 500 klien.
Mengoptimalkan solusi
Saya ingin solusi yang toleran terhadap kesalahan, serta mengurangi waktu tunggu dalam antrian. Untuk ini, saya sedang mempertimbangkan opsi.
Saya akan
menyeimbangkan dua Klien S-Terra Gateway 3000 menjadi dua, masing-masing 250 koneksi. Waktu tunggu maksimum dalam antrian adalah 250/10 kira-kira 25 detik pada koneksi pertama. Saya akan menyelesaikan masalah dengan antrian saat membangun kembali terowongan dengan mengatur DELTA. Jika terjadi kegagalan salah satu gateway, beban akan dipindahkan ke gateway kedua (meskipun tanpa margin performa).
Lima
Solusi S-Terra Gateway 2000 untuk kinerja maksimum. 100 koneksi klien per gateway, waktu antrian maksimum 10 detik, tetapi tidak ada ruang kepala kinerja.
Daftar harga S-Terra terbuka. Saya akan membandingkan biaya solusi yang diberikan (kurs dolar membutuhkan 73 rubel):
| Keputusan
|
Harga, gosok
|
| S-Terra Gateway 7000
+ 500 klien |
4 533 270
|
| 2 x S-Terra Gateway
3000 + 500 klien |
4 564 680
|
| 5 x S-Terra Gateway
2000 + 500 klien |
4980300
|
Saya akan memilih opsi kedua. Dua S-Terra Gateway 3000 dan 500 klien. 31.000 rubel untuk toleransi kesalahan dan pengurangan waktu antrian adalah harga yang bagus. Sistem kontrol vendor adalah opsional, jika Anda mau - ambillah.
Hasil
Resep untuk RA VPN yang lezat:
- Tentukan jumlah koneksi klien:
- Perkirakan volume lalu lintas rata-rata dari koneksi klien;
- Seimbangkan koneksi klien di beberapa gateway;
- Pertimbangkan pertimbangan arsitektur (antrian dan pembangunan kembali).
Seperti yang dikatakan siswa, bulat!
Insinyur anonim
t.me/anonimous.engineer