利用策略實現(xiàn)企業(yè)虛擬專用網(wǎng)(VPN)帶寬監(jiān)管
VPN(虛擬專用網(wǎng))是企業(yè)解決遠程訪問的首選。如下圖,企業(yè)通過一個思科的VPN集中器,實現(xiàn)外網(wǎng)用戶通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的文件服務器等資源。不過企業(yè)配置了VPN虛擬專用網(wǎng)之后,也可能會帶來一系列的問題。如當外部用戶訪問者比較多或者外部用戶與文件服務器之間傳輸大容量文件時就會對企業(yè)內(nèi)部用戶正常訪問互聯(lián)網(wǎng)產(chǎn)生影響,因為其要占用比較大的帶寬,無論是對防火墻還是企業(yè)內(nèi)部的交換機或者路由器都會帶來比較大的壓力。而且如果對VPN的最大帶寬進行限制,也可以把非法攻擊者通過VPN對企業(yè)內(nèi)部網(wǎng)絡的攻擊降低到最低。為此,對VPN虛擬專用網(wǎng)的傳輸帶寬進行限制是有必要的。筆者在接下去的內(nèi)容中就談談筆者是如何實現(xiàn)對這個VPN帶寬的監(jiān)管。
一、最高傳輸率限制的缺陷
現(xiàn)在市面上大部分的網(wǎng)絡產(chǎn)品,都有最高數(shù)據(jù)傳輸率的限制。如在思科的VPN集中器中,為了滿足用戶對于VPN虛擬專用網(wǎng)帶寬監(jiān)管的需求,集中器就提供了最高的數(shù)據(jù)傳輸率。帶寬監(jiān)管功能可以設置隧道傳輸數(shù)據(jù)流的最高限制。如可以設置外部用戶(全部)通過集中器訪問企業(yè)內(nèi)部文件服務器時最大的速率為100Kbit/S(同時訪問用戶的流量總和)。集中器接收到的數(shù)據(jù)流,如果低于這個速率就傳輸;如果高于這個速率則就丟棄。
這個控制措施看起來是不錯,但是,其有一個缺陷。眾所周知,網(wǎng)絡流量具有突發(fā)性的特點。如果規(guī)定的這么死的話,那么維護起來就會很麻煩。為此我們網(wǎng)絡管理員往往希望網(wǎng)絡設備能夠提供一些針對突發(fā)流量的應對措施。還好思科的VPN集中器沒有讓我們失望。在這個產(chǎn)品中,主要提供了兩個指標讓我們來監(jiān)管VPN的帶寬,這兩個指標分別為監(jiān)管速率和突發(fā)數(shù)據(jù)流的大小。監(jiān)管速率就是我們常說的最高傳輸速率,專業(yè)的定義就是指穩(wěn)定的隧道傳輸數(shù)據(jù)流的最高傳輸速率。突發(fā)數(shù)據(jù)流的大小是指在突發(fā)數(shù)據(jù)流被抑制到監(jiān)管速率門限值以下之前,瞬時出現(xiàn)的突發(fā)數(shù)據(jù)流的最大值,也就是說其允許超過最大傳輸率的部分。集中器允許瞬時突發(fā)數(shù)據(jù)流的速率高于監(jiān)管速率,達到突發(fā)速率。但是這有一個時間與量上的限制。如果一直有突發(fā)數(shù)據(jù)量且超過突發(fā)速率,則集中器就會認為這個數(shù)據(jù)流可能有問題,就會強制執(zhí)行監(jiān)管速率,集中器開始丟棄數(shù)據(jù)幀。
可見,監(jiān)管速率(最大傳輸速率)與突發(fā)速率結合,可以實現(xiàn)對VPN帶寬的靈活配置。
二、針對不同的用戶設置不同的傳輸帶寬限制
由于不同的用戶對于帶寬的傳輸速率要求不同,為此網(wǎng)絡管理員可以根據(jù)用戶類型的不同來分別設置VPN帶寬的限制。如對于普通用戶來說,其由于只是正常的文件訪問,故其基本上不會引起突發(fā)數(shù)據(jù)流(除非其帳戶泄露,被別人用來攻擊),所以不需要為其設置突發(fā)速率,而只需要為其配置監(jiān)管速率即可。而對于網(wǎng)絡管理員來說,有時候出于文件服務器內(nèi)核的升級(如文件服務器采用的是Unix系統(tǒng))、服務器的調式等等的需要,可能會引發(fā)突發(fā)數(shù)據(jù)流。為此就可以為網(wǎng)絡管理員同時設置監(jiān)管速率與突發(fā)速率,以滿足其突發(fā)數(shù)據(jù)流的需要。若要實現(xiàn)這個需求,則網(wǎng)絡管理員可以通過組來實現(xiàn)。即可以為網(wǎng)絡管理員設置一個維護組,然后設置監(jiān)管速率與突發(fā)速率。然后把網(wǎng)絡管理員加入到這個組中。而對于普通用戶則可以不設置突發(fā)速率,則其只能夠大到最大的監(jiān)管速率,即使有最大突發(fā)數(shù)據(jù)流的存在。#p#
三、三步做好VPN帶寬的監(jiān)管設置
要對VPN帶寬實現(xiàn)監(jiān)管,主要通過三個步驟來實現(xiàn),分別為定義監(jiān)管策略、降策略分配到特定的接口、分配組等。具體的配置如下:
第一步:配置監(jiān)管策略
網(wǎng)絡管理員若要配置VPN集中器的監(jiān)管策略(以思科VPN3000為例),主要是在Bandwidth Policies窗口中實現(xiàn)。在這個窗口中主要分為上下兩個部分。上面部分主要用來配置預留帶寬,下面一部分就是用來配置監(jiān)管速率策略。在配置監(jiān)管速率策略的時候,主要就是配置兩個值分別為監(jiān)管速率(PoliclingRate)與正常突發(fā)數(shù)據(jù)流大小(NormalBurstSize)。注意這個監(jiān)管速率不同的產(chǎn)品其最大的允許的速率是不同的。故管理員在配置之前需要先查看相關的說明書,然后再進行配置。以VPN3000為例,其監(jiān)管速率的范圍為56-100Kbit/s。默認情況下為56Kbit/s。在配置監(jiān)管速率與正常突發(fā)數(shù)據(jù)流大小這兩個參數(shù)時,筆者有如下建議兩個建議。
一是注意集中器傳輸移動速率低于監(jiān)管速率的數(shù)據(jù)流,集中器將會丟失數(shù)據(jù)幀。為此到底多大的監(jiān)管速率是合適的,網(wǎng)絡管理員還是需要根據(jù)企業(yè)自身的需求來定。筆者的做法是,剛開始不啟用配置監(jiān)管策略。對VPN的網(wǎng)絡流量先規(guī)測一段時間,得出一個合理的值。經(jīng)過一個月的規(guī)測之后,再起用監(jiān)管策略。如此的話,網(wǎng)絡管理員就可以有參考的依據(jù)。從而就不會因為這個監(jiān)管速率配置不合適而給用戶的正常訪問帶來不利的影響。
二是確定了合適的監(jiān)管速率之后,是否要啟用突發(fā)速率要結合企業(yè)的實際情況來定義。如果企業(yè)的網(wǎng)絡應用中,有些會觸發(fā)突發(fā)數(shù)據(jù)流,則就需要啟用。否則的話,就沒有啟用的必要。因為這個突發(fā)數(shù)據(jù)流很有可能是病毒或者木馬之類造成的。所以不啟用這個突發(fā)數(shù)據(jù)流也是對企業(yè)內(nèi)部網(wǎng)絡的一種保障。根據(jù)筆者的經(jīng)驗,筆者建議對于普通用戶來說,可以不設置正常突發(fā)數(shù)據(jù)流大小。而對于管理員來說,出于日常維護的需要,就可能需要設置這個正常突發(fā)數(shù)據(jù)流大小,以滿足其維護過程中出現(xiàn)的突發(fā)數(shù)據(jù)流。如現(xiàn)在筆者配置了一個監(jiān)管策略,監(jiān)管速率與正常突發(fā)數(shù)據(jù)流大小都采用默認值。那么任何一個分配了這項策略的遠程用戶,他的穩(wěn)定隧道傳輸數(shù)據(jù)流的最高速率為56Kbit/s。集中器在通過丟棄數(shù)據(jù)報限制數(shù)據(jù)流之前,他可以支持的瞬時突發(fā)數(shù)據(jù)流為10500字節(jié)(正常突發(fā)數(shù)據(jù)流的默認大小)。網(wǎng)絡管理員可以根據(jù)企業(yè)的實際應用來調整這兩個參數(shù)。
第二步:將策略分配給集中器接口
策略配置好之后,跟訪問控制列表一樣,其默認情況下是不會啟用的。網(wǎng)絡管理員需要把這個策略分配給集中器的接口之后才會啟用。要為某個特定的接口啟用監(jiān)管策略,則需要打開接口配置窗口,如Ethernet2窗口。在這個窗口中,可以設置這個接口是否需要啟用帶寬管理。如需要啟用的話,則就可以在此為接口分配其要使用的策略。網(wǎng)絡管理員可以在帶寬策略(Bandwidth Policy)處選擇剛才建立的監(jiān)管策略。
在監(jiān)管策略應用時,筆者還需要向網(wǎng)絡管理員提醒一點,即連接速率對監(jiān)管策略應用的影響。鏈接速率必須是基于可用的因特網(wǎng)帶寬而不是Lan物理連接速率。如果鏈接速率低于監(jiān)管速率的綜合,則部分遠程用戶建達不到監(jiān)管速率。這是什么意思呢?簡單的將就是當互聯(lián)網(wǎng)傳輸速率比監(jiān)管策略設置的監(jiān)管速率要低的話,則遠程用戶就永遠達不到監(jiān)管策略規(guī)定的最大傳輸速率。
第三步:分配組
思科的集中器中,即可以將策略應用到用戶,也可以將策略應用的組中。如果企業(yè)需要遠程訪問的用戶比較多的話,而且有需要為其分配不同的監(jiān)管策略,則最好能夠通過組來管理,以減少維護的工作量。其實這個步驟跟上面第二個步驟是并行的,在同一個配置窗口中實現(xiàn)。在配置的時候,網(wǎng)絡管理員需要注意VPN集中器的一個默認法則。即如果網(wǎng)絡管理員沒有為遠程用戶所在的組設置專門定義的監(jiān)管速率,則VPN集中器會將接口的監(jiān)管速率直接分配給用戶。也就是說,VPN集中器不像微軟操作系統(tǒng),默認情況下其是不通過組來管理用戶的。這一點網(wǎng)絡管理員要特別注意。
【編輯推薦】
