Situação
Os usuårios de soluçÔes VPN domésticas reclamam da estabilidade e facilidade de uso. Como engenheiro, estou procurando a raiz dos problemas do usuårio.
VPN doméstica é como café. Assim como o sabor e o aroma do café dependem do talento do barista, as soluçÔes VPN exigem o preparo correto. Usando o exemplo da VPN C-Terra, vou mostrar do que os usuårios estão reclamando e como evitå-lo.
Dados iniciais
Tenho que transferir 500 funcionĂĄrios para trabalho remoto. Para isso utilizo o C-Terra VPN versĂŁo 4.3. De produtos VPN, preciso do S-Terra Gateway para o centro e do software cliente S-Terra Client para os laptops dos funcionĂĄrios.
Eu uso o S-Terra Gateway apenas para RA VPN. Todos os 500 usuĂĄrios se conectam ao gateway ao mesmo tempo.
DecisĂŁo na testa
Na arquitetura IKE / IPsec, uma conexĂŁo de cliente Ă© considerada um tĂșnel separado. Isso significa que preciso de um gateway capaz de suportar 500 tĂșneis ao mesmo tempo. Abro o site do fornecedor e vejo que trĂȘs modelos sĂŁo adequados para mim:
| Modelo de gateway de
segurança |
NĂșmero de
tĂșneis operando simultaneamente |
| S-Terra Gateway 2000
|
500
|
| S-Terra Gateway 3000
|
1000
|
| S-Terra Gateway 7000
|
NĂŁo limitado
|
Eu quero economizar algum dinheiro, pegue o C-Terra Gateway 2000. Eu silenciosamente começo a odiar o mundo.
Stone 1. A construção de 500 tĂșneis leva tempo. O
usuĂĄrio virĂĄ com algo assim: "Este Estera nunca se conecta pela primeira vez, nunca realmente!"
O C-Terra Gateway em RA VPN atua como respondedor de conexĂ”es de clientes. De acordo com minhas observaçÔes, cerca de 10 tĂșneis sĂŁo construĂdos por segundo (valor mĂ©dio para os
modelos de gateway considerados ). ConseqĂŒentemente, levarĂĄ 50 segundos para construir 500 tĂșneis, arredondados para um minuto honesto.
Nosso usuĂĄrio estĂĄ sem sorte. Cada vez que um usuĂĄrio se conecta ao gateway, o usuĂĄrio Ă© colocado na fila. VocĂȘ precisa esperar atĂ© 60 segundos. O usuĂĄrio ativo tentarĂĄ reiniciar o cliente e, assim, reconectar, mas terminarĂĄ no final da fila. Instrua o usuĂĄrio que Ă© melhor esperar em tais situaçÔes.
Stone 2. Os tĂșneis IPsec sĂŁo reconstruĂdos periodicamente.
Para o usuĂĄrio, parece algo assim: "Este Estera cai periodicamente e nĂŁo se conecta novamente na primeira vez!"
A vida Ăștil de um tĂșnel IPsec Ă© limitada pela quantidade de trĂĄfego ou pelo tempo. Quando
o tĂșnel Ă© reconstruĂdo, uma nova chave de criptografia simĂ©trica de sessĂŁo Ă© gerada.
Agora imagine - os tĂșneis decidiram reconstruir mais ou menos ao mesmo tempo. Novamente fila e maldiçÔes. Para evitar isso, um delta (DELTA) deve ser definido no gateway de segurança, o que alterarĂĄ aleatoriamente a vida Ăștil de cada um dos tĂșneis.
Stone 3. Gateways de segurança são limitados no desempenho de criptografia.
Abro o site do fornecedor e vejo:
| Modelo de gateway de
segurança |
Desempenho mĂĄximo de criptografia, Mbps |
Desempenho
criptografia IMIX Mbit / s |
| S-Terra Gateway 2000
|
380
|
250
|
| S-Terra Gateway 3000
|
1550
|
1180
|
| S-Terra Gateway 7000
|
3080
|
2030
|
Em que desempenho vocĂȘ deve se concentrar?
No IMIX. O desempenho mĂĄximo de criptografia, como regra, Ă© obtido em
pacotes grandes, dificilmente se aplica a uma rede real.
Para evitar quedas, trabalho instĂĄvel e desconexĂ”es, vocĂȘ precisa estimar qual Ă© o volume mĂ©dio de trĂĄfego gerado por uma conexĂŁo de cliente. Por exemplo, meus usuĂĄrios usam RDP, correio e fluxo de trabalho. Eu estimo o trĂĄfego em 2Mbps em mĂ©dia por conexĂŁo. Tenho um total de 1000 Mbps. Vou adicionar uma margem no caso de um pico de carga de 1 Mbit / s por conexĂŁo, no total eu recebo 1500 Mbit / s no pico para 500 conexĂ”es simultĂąneas.
Recuso-me ao S-Terra Gateway 2000. Busco o S-Terra Gateway 7000.
Uma solução frontal: S-Terra Gateway 7000 e 500 clientes.
Otimizando a solução
Quero uma solução tolerante a falhas, além de reduzir o tempo de espera na fila. Para isso, estou considerando opçÔes.
Vou
desequilibrar dois clientes S-Terra Gateway 3000 pela metade, 250 conexĂ”es cada. O tempo mĂĄximo de espera na fila serĂĄ 250/10, aproximadamente 25 segundos na primeira conexĂŁo. Posso resolver o problema com filas ao reconstruir tĂșneis definindo DELTA. Em caso de falha de um dos gateways, a carga serĂĄ movida para o segundo gateway (embora sem margem de desempenho).
Cinco
soluçÔes S-Terra Gateway 2000 para desempenho måximo. 100 conexÔes de cliente por gateway, tempo måximo de fila de 10 segundos, mas sem espaço para desempenho.
A lista de preços da S-Terra estå aberta. Vou comparar o custo das soluçÔes fornecidas (a taxa do dólar levou 73 rublos):
| DecisĂŁo
|
Preço, esfregue
|
| S-Terra Gateway 7000
+ 500 clientes |
4 533 270
|
| 2 x S-Terra Gateway
3000 + 500 clientes |
4 564 680
|
| 5 x S-Terra Gateway
2.000 + 500 clientes |
4980300
|
Vou escolher a segunda opção. Dois S-Terra Gateway 3000 e 500 clientes. 31.000 rublos para tolerĂąncia a falhas e tempo reduzido na fila Ă© um bom preço. O sistema de controle do fornecedor Ă© opcional, se vocĂȘ quiser - pegue-o.
Resultado
A receita para um delicioso RA VPN:
- Determine o nĂșmero de conexĂ”es do cliente:
- Estimar o volume médio de tråfego de uma conexão de cliente;
- Equilibre as conexÔes do cliente em vårios gateways;
- Considere as consideraçÔes arquitetÎnicas (enfileiramento e reconstrução).
Como diz o aluno, redondo!
Engenheiro anĂŽnimo
t.me/anonimous.engineer