利用策略實現企業虛擬專用網(VPN)帶寬監管
VPN(虛擬專用網)是企業解決遠程訪問的首選。如下圖,企業通過一個思科的VPN集中器,實現外網用戶通過互聯網訪問企業內部的文件服務器等資源。不過企業配置了VPN虛擬專用網之后,也可能會帶來一系列的問題。如當外部用戶訪問者比較多或者外部用戶與文件服務器之間傳輸大容量文件時就會對企業內部用戶正常訪問互聯網產生影響,因為其要占用比較大的帶寬,無論是對防火墻還是企業內部的交換機或者路由器都會帶來比較大的壓力。而且如果對VPN的最大帶寬進行限制,也可以把非法攻擊者通過VPN對企業內部網絡的攻擊降低到最低。為此,對VPN虛擬專用網的傳輸帶寬進行限制是有必要的。筆者在接下去的內容中就談談筆者是如何實現對這個VPN帶寬的監管。
一、最高傳輸率限制的缺陷
現在市面上大部分的網絡產品,都有最高數據傳輸率的限制。如在思科的VPN集中器中,為了滿足用戶對于VPN虛擬專用網帶寬監管的需求,集中器就提供了最高的數據傳輸率。帶寬監管功能可以設置隧道傳輸數據流的最高限制。如可以設置外部用戶(全部)通過集中器訪問企業內部文件服務器時最大的速率為100Kbit/S(同時訪問用戶的流量總和)。集中器接收到的數據流,如果低于這個速率就傳輸;如果高于這個速率則就丟棄。
這個控制措施看起來是不錯,但是,其有一個缺陷。眾所周知,網絡流量具有突發性的特點。如果規定的這么死的話,那么維護起來就會很麻煩。為此我們網絡管理員往往希望網絡設備能夠提供一些針對突發流量的應對措施。還好思科的VPN集中器沒有讓我們失望。在這個產品中,主要提供了兩個指標讓我們來監管VPN的帶寬,這兩個指標分別為監管速率和突發數據流的大小。監管速率就是我們常說的最高傳輸速率,專業的定義就是指穩定的隧道傳輸數據流的最高傳輸速率。突發數據流的大小是指在突發數據流被抑制到監管速率門限值以下之前,瞬時出現的突發數據流的最大值,也就是說其允許超過最大傳輸率的部分。集中器允許瞬時突發數據流的速率高于監管速率,達到突發速率。但是這有一個時間與量上的限制。如果一直有突發數據量且超過突發速率,則集中器就會認為這個數據流可能有問題,就會強制執行監管速率,集中器開始丟棄數據幀。
可見,監管速率(最大傳輸速率)與突發速率結合,可以實現對VPN帶寬的靈活配置。
二、針對不同的用戶設置不同的傳輸帶寬限制
由于不同的用戶對于帶寬的傳輸速率要求不同,為此網絡管理員可以根據用戶類型的不同來分別設置VPN帶寬的限制。如對于普通用戶來說,其由于只是正常的文件訪問,故其基本上不會引起突發數據流(除非其帳戶泄露,被別人用來攻擊),所以不需要為其設置突發速率,而只需要為其配置監管速率即可。而對于網絡管理員來說,有時候出于文件服務器內核的升級(如文件服務器采用的是Unix系統)、服務器的調式等等的需要,可能會引發突發數據流。為此就可以為網絡管理員同時設置監管速率與突發速率,以滿足其突發數據流的需要。若要實現這個需求,則網絡管理員可以通過組來實現。即可以為網絡管理員設置一個維護組,然后設置監管速率與突發速率。然后把網絡管理員加入到這個組中。而對于普通用戶則可以不設置突發速率,則其只能夠大到最大的監管速率,即使有最大突發數據流的存在。#p#
三、三步做好VPN帶寬的監管設置
要對VPN帶寬實現監管,主要通過三個步驟來實現,分別為定義監管策略、降策略分配到特定的接口、分配組等。具體的配置如下:
第一步:配置監管策略
網絡管理員若要配置VPN集中器的監管策略(以思科VPN3000為例),主要是在Bandwidth Policies窗口中實現。在這個窗口中主要分為上下兩個部分。上面部分主要用來配置預留帶寬,下面一部分就是用來配置監管速率策略。在配置監管速率策略的時候,主要就是配置兩個值分別為監管速率(PoliclingRate)與正常突發數據流大小(NormalBurstSize)。注意這個監管速率不同的產品其最大的允許的速率是不同的。故管理員在配置之前需要先查看相關的說明書,然后再進行配置。以VPN3000為例,其監管速率的范圍為56-100Kbit/s。默認情況下為56Kbit/s。在配置監管速率與正常突發數據流大小這兩個參數時,筆者有如下建議兩個建議。
一是注意集中器傳輸移動速率低于監管速率的數據流,集中器將會丟失數據幀。為此到底多大的監管速率是合適的,網絡管理員還是需要根據企業自身的需求來定。筆者的做法是,剛開始不啟用配置監管策略。對VPN的網絡流量先規測一段時間,得出一個合理的值。經過一個月的規測之后,再起用監管策略。如此的話,網絡管理員就可以有參考的依據。從而就不會因為這個監管速率配置不合適而給用戶的正常訪問帶來不利的影響。
二是確定了合適的監管速率之后,是否要啟用突發速率要結合企業的實際情況來定義。如果企業的網絡應用中,有些會觸發突發數據流,則就需要啟用。否則的話,就沒有啟用的必要。因為這個突發數據流很有可能是病毒或者木馬之類造成的。所以不啟用這個突發數據流也是對企業內部網絡的一種保障。根據筆者的經驗,筆者建議對于普通用戶來說,可以不設置正常突發數據流大小。而對于管理員來說,出于日常維護的需要,就可能需要設置這個正常突發數據流大小,以滿足其維護過程中出現的突發數據流。如現在筆者配置了一個監管策略,監管速率與正常突發數據流大小都采用默認值。那么任何一個分配了這項策略的遠程用戶,他的穩定隧道傳輸數據流的最高速率為56Kbit/s。集中器在通過丟棄數據報限制數據流之前,他可以支持的瞬時突發數據流為10500字節(正常突發數據流的默認大小)。網絡管理員可以根據企業的實際應用來調整這兩個參數。
第二步:將策略分配給集中器接口
策略配置好之后,跟訪問控制列表一樣,其默認情況下是不會啟用的。網絡管理員需要把這個策略分配給集中器的接口之后才會啟用。要為某個特定的接口啟用監管策略,則需要打開接口配置窗口,如Ethernet2窗口。在這個窗口中,可以設置這個接口是否需要啟用帶寬管理。如需要啟用的話,則就可以在此為接口分配其要使用的策略。網絡管理員可以在帶寬策略(Bandwidth Policy)處選擇剛才建立的監管策略。
在監管策略應用時,筆者還需要向網絡管理員提醒一點,即連接速率對監管策略應用的影響。鏈接速率必須是基于可用的因特網帶寬而不是Lan物理連接速率。如果鏈接速率低于監管速率的綜合,則部分遠程用戶建達不到監管速率。這是什么意思呢?簡單的將就是當互聯網傳輸速率比監管策略設置的監管速率要低的話,則遠程用戶就永遠達不到監管策略規定的最大傳輸速率。
第三步:分配組
思科的集中器中,即可以將策略應用到用戶,也可以將策略應用的組中。如果企業需要遠程訪問的用戶比較多的話,而且有需要為其分配不同的監管策略,則最好能夠通過組來管理,以減少維護的工作量。其實這個步驟跟上面第二個步驟是并行的,在同一個配置窗口中實現。在配置的時候,網絡管理員需要注意VPN集中器的一個默認法則。即如果網絡管理員沒有為遠程用戶所在的組設置專門定義的監管速率,則VPN集中器會將接口的監管速率直接分配給用戶。也就是說,VPN集中器不像微軟操作系統,默認情況下其是不通過組來管理用戶的。這一點網絡管理員要特別注意。
【編輯推薦】
