Pièges du VPN domestique d'accès à distance ou comment le rendre stable





Situation



Les utilisateurs de solutions VPN nationales se plaignent de la stabilité et de la facilité d'utilisation. En tant qu'ingénieur, je recherche la racine des problèmes des utilisateurs.



Le VPN domestique est comme le café. Tout comme le goût et l'arôme du café dépendent du talent du barista, les solutions VPN nécessitent la bonne préparation. En utilisant l'exemple de C-Terra VPN, je vais montrer ce dont les utilisateurs se plaignent et comment l'éviter.



Donnée initiale



Je dois transférer 500 employés au travail à distance. Pour cela, j'utilise C-Terra VPN version 4.3. Des produits VPN, j'ai besoin de S-Terra Gateway vers le centre et du logiciel client S-Terra Client pour les ordinateurs portables des employés.



J'utilise S-Terra Gateway uniquement pour RA VPN. Les 500 utilisateurs se connectent à la passerelle en même temps.



Décision dans le front



Dans l'architecture IKE / IPsec, une connexion client est considérée comme un tunnel distinct. Cela signifie que j'ai besoin d'une passerelle capable de prendre en charge 500 tunnels en même temps. J'ouvre le site Web du fournisseur et constate que trois modèles me conviennent:



Modèle de passerelle de

sécurité

Nombre de

tunnels fonctionnant simultanément

Passerelle S-Terra 2000

500

S-Terra Gateway 3000

1000

Passerelle S-Terra 7000

Non limité



Je veux économiser de l'argent, prenez le C-Terra Gateway 2000. Je commence tranquillement à détester le monde.



Stone 1. Il faut du temps pour construire 500 tunnels. L'



utilisateur arrivera avec quelque chose comme ceci: "Cette Estera ne se connecte jamais la première fois, jamais vraiment!"



La passerelle C-Terra dans RA VPN fonctionne comme un répondeur aux connexions client. D'après mes observations, environ 10 tunnels sont construits par seconde (valeur moyenne pour les

modèles de passerelle considérés ). En conséquence, il faudra 50 secondes pour construire 500 tunnels, arrondis à une minute honnête.



Notre utilisateur n'a pas de chance. Chaque fois qu'un utilisateur se connecte à la passerelle, l'utilisateur est mis en file d'attente. Vous devez attendre jusqu'à 60 secondes. L'utilisateur actif tentera de redémarrer le client et donc de se reconnecter, mais se retrouvera à la fin de la file d'attente. Informez l'utilisateur qu'il est préférable d'attendre dans de telles situations.



Stone 2. Les tunnels IPsec sont régulièrement reconstruits



Pour l'utilisateur, cela ressemble à ceci: "Cet Estera tombe périodiquement et ne se reconnecte plus la première fois!"



La durée de vie d'un tunnel IPsec est limitée soit par la quantité de trafic, soit par le temps. Lorsque

le tunnel est reconstruit, une nouvelle clé de chiffrement symétrique de session est générée.



Maintenant, imaginez - les tunnels ont décidé de reconstruire plus ou moins en même temps. Encore une fois queue et malédictions. Pour éviter cela, un delta (DELTA) doit être défini sur la passerelle de sécurité, ce qui modifiera aléatoirement la durée de vie de chacun des tunnels.



Stone 3. Les passerelles de sécurité sont limitées en termes de performances de chiffrement.



J'ouvre le site Web du fournisseur et je vois:

Modèle de passerelle de

sécurité



Performances de cryptage maximales , Mbps



Cryptage IMIX Performance Mbit / s

Passerelle S-Terra 2000

380

250

S-Terra Gateway 3000

1550

1180

Passerelle S-Terra 7000

3080

2030



Sur quelle performance devriez-vous vous concentrer?



Sur IMIX. Les performances de cryptage maximales, en règle générale, sont atteintes sur de

gros paquets; elles ne sont guère applicables à un réseau réel.



Pour éviter les chutes, le travail instable et les déconnexions, vous devez estimer le volume de trafic moyen généré par une connexion client. Par exemple, mes utilisateurs utilisent RDP, courrier et workflow. J'évalue le trafic à 2 Mbps en moyenne par connexion. J'ai un total de 1000 Mbps. J'ajouterai une marge en cas de charge de pointe de 1 Mbit / s par connexion, au total j'obtiens 1500 Mbit / s en pointe pour 500 connexions simultanées.



Je refuse la S-Terra Gateway 2000. Je regarde vers S-Terra Gateway 7000.



Une solution frontale: S-Terra Gateway 7000 et 500 clients.



Optimiser la solution



Je veux une solution tolérante aux pannes, ainsi que réduire le temps d'attente dans la file d'attente. Pour cela, j'envisage des options.



Je



déséquilibrerai deux clients S-Terra Gateway 3000 en deux, 250 connexions chacun. Le temps d'attente maximum dans la file d'attente sera de 250/10 environ 25 secondes lors de la première connexion. Je peux résoudre le problème des files d'attente lors de la reconstruction des tunnels en définissant DELTA. En cas de défaillance de l'une des passerelles, la charge se déplacera vers la deuxième passerelle (mais sans marge de performance).



Cinq



solutions S-Terra Gateway 2000 pour des performances maximales. 100 connexions client par passerelle, durée maximale de la file d'attente de 10 secondes, mais pas de marge de performance.



La liste de prix de S-Terra est ouverte. Je comparerai le coût des solutions données (le taux du dollar prenait 73 roubles):



Décision

Prix, frottez

S-Terra Gateway 7000

+ 500 clients

4 533 270

2 x S-Terra Gateway

3000 + 500 clients

4 564 680

5 x S-Terra Gateway

2000 + 500 clients

4980300



Je vais choisir la deuxième option. Deux clients S-Terra Gateway 3000 et 500. 31000 roubles pour la tolérance aux pannes et la réduction du temps d'attente est un bon prix. Le système de contrôle du fournisseur est facultatif, si vous le souhaitez - prenez-le.



Résultat



La recette d'un délicieux VPN RA:



  • Déterminez le nombre de connexions client:
  • Estimer le volume de trafic moyen d'une connexion client;
  • Équilibrez les connexions client sur plusieurs passerelles; 
  • Tenez compte des considérations architecturales (mise en file d'attente et reconstruction).




Comme le dit l'élève, rond!



Ingénieur anonyme

t.me/anonimous.engineer



All Articles