科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全利用预留带宽保障企业远程访问用户数量

利用预留带宽保障企业远程访问用户数量

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

VPN集中器最多可以连接多少用户?这不仅仅跟VPN集中器的点数有关,而且还跟其他一些因素有关,如互联网的可用带宽等等。如下图,现在企业VPN集中器公用接口上的速率为2Mbit/s时,那么此时最多可以连接的用户数量为多少呢?如果现在同时连接了10000个用户,那么每个用户的速率是不是变为0.0002Mbit/s呢?如果真的如此的话,那么对每个用户都是一个难以忍受的速度。若要考虑这个问题,就需要先来了解一下带宽预留是什么东西。

来源:zdnet整理 2010年6月13日

关键字: 防火墙 VPN

  • 评论
  • 分享微博
  • 分享邮件

  VPN集中器最多可以连接多少用户?这不仅仅跟VPN集中器的点数有关,而且还跟其他一些因素有关,如互联网的可用带宽等等。如下图,现在企业VPN集中器公用接口上的速率为2Mbit/s时,那么此时最多可以连接的用户数量为多少呢?如果现在同时连接了10000个用户,那么每个用户的速率是不是变为0.0002Mbit/s呢?如果真的如此的话,那么对每个用户都是一个难以忍受的速度。若要考虑这个问题,就需要先来了解一下带宽预留是什么东西。

  

预留带宽保障远程访问用户的数量

  一、预留带宽应用案例

  带宽预留是指为每个隧道传输数据流会话所保留的最低带宽。也就是说,每个用户链接到集中器时,都会获得一个最低的带宽。当VPN集中器接口上没有数据流时,用户获得的带宽就会比分配的最低带宽大。当连接的用户比较多时,接口就会比较忙,用户的最低速率仍然会有所保障,其最低的速率为网络管理员所设定的最低带宽。在接口上,所有活动隧道的预留带宽总量接近到可用带宽的总量时,集中器就会拒绝所要求的预留带宽大于可用带宽的用户进行连接。

  这光凭文字来理解可能还不是很直观,笔者现在以一个案例来说明。如上图所示,网络在VPN集中器配置的时候,把VPN集中器的公用接口链接速率设置为2Mbit/s,并设置了预留带宽,接口上为每个用户设置的预留带宽为0.5Mbit/s(实际上这个速率可能比较高,这里为了叙述方便就设置了这么高的速率)。那么此时最多可以连接4个用户同时连接到集中器。每个用户的最低速率为0.5M。当第一个远程访问用户连接到VPN集中器时,其最低的速率为0.5M,而其实际的可用速率可能会达到2M。当第二个远程用户连接到VPN集中器时,其也将获得最低0.5M的速率,同时剩余的1M带宽则是两个用户共享。依次类推。当第四个远程访问用户连接到VPN集中器时,其也将获得一个最低0.5M的速率。此时没有剩余的带宽可以共享,故每个用户最终能够实现的带宽就会0.5M。当第五个远程访问用户想连接到VPN集中器上来的时候,由于没有可用的带宽,VPN集中器就会拒绝连接。集中器将不允许其他任何的连接,因为此时集中器已经无法再为更多的用户提供预留的带宽。

  二、预留带宽的作用

  其实预留带宽可以利用分蛋糕来比喻。VPN集中器公用接口的链接速度,因为种种原因其大小受到限制。这就好像一个蛋糕,当想吃这个蛋糕的人比较多时,这个蛋糕该怎么分?此时网络管理员往往有两个选择。一是见者有份,有多少人想吃,每个人平均分。结果当人比较多的时候,可能每个人吃到的就只可以填牙缝。二是每个人都有最小的分额,先来显得。如每个人都可以吃到六分之一块蛋糕。当人比较多时,每个远程访问用户除了可以享受到分给自己的六分之一份额的蛋糕,剩余的蛋糕还可以在现有的用户之间分配。而如果用户比较多时,则前面六个用户将分别获得六分之一的蛋糕,迟到的用户就没有了。而现在预留带宽其实采用的就是第二种方式,即保障每个用户的最小份额。这对于远程访问是非常有用的。

  一方面,连接的用户其获得的是其满足日常办公需要的最低连接速度,即可以保证其正常办公的最低速率。如果用户获得的速率比这个最低速率要低的话,那么即使这个用户连接到了VPN集中器上,则其也没有多大的用户。如上面的0.0002M的速率,可能对于用户来说,即使连接到了VPN集中器上,其实际用途也不大。此时还不如让其他一些用户获得其办公需要的最低带宽为好。集中器的预留带宽就能够起到类似的作用。他可以根据先来先得的游戏规则,满足远程访问用户的最低连接速率要求。

  另一方面,其对于VPN的集中器安全也具有一定的保障作用。如上面的案例所示,如果企业平时就是外面的四个办事处需要访问VPN集中器。根据VPN服务器的部署策略,通常情况下办事处往往有多个员工,此时他们往往通过VPN硬件客户端来连接VPN集中其。即虽然办事处有多个员工,但是对于VPN集中起来说,一个硬件客户端就是一个远程访问用户。也就是说,一个办事处就是一个远程访问用户。此时,四个办事处的VPN硬件客户端无时无刻都链接在VPN集中器上,那么一些非法攻击者也就不能够链接到VPN集中器上,实现恶意访问。故预留带宽管理策略,也能够提高企业VPN网络的安全性。

  第三,用户的最大带宽会根据实际情况自动调整。如果在集中器上配置了预留带宽,VPN集中其会先满足远程访问用户的最小带宽要求。而对于远程访问用户的最大带宽,则VPN集中器会根据实际情况来进行自动调节。不过有一个值得肯定的就是,最后共享的带宽会自动进行调整。如现在的这个剩下的带宽都是A用户在使用。此时有其他用户连接到VPN集中器时,集中其则会马上从这个共享带宽中分一块出来跟新用户。也每个用户的最大带宽实际上是根据连接用户的多少而自动调整的。这就可以减少网络管理员的工作量。

  第四,预留带宽采用先来先得的实现方式,结合其他的技术管理策略。实现了预留带宽策略之后,基本上不会对VPN集中器的性能产生什么样的负面影响。笔者以前做过一个测试,配置了预留带宽之后,最多可以允许24个用户连接。当同时有24个用户连接到VPN集中器时,是否实现了预留带宽功能不会对VPN集中器带来很大的负面影响。可见,集中器的预留带宽策略不会消耗很多的VPN集中器资源。甚至可以说,对性能的影响是微乎其微的。

  三、实现方式

  配置带宽预留主要通过两个步骤来实现,分别为定义带宽预留策略与将定义的策略分配给对应的接口或者有选择性的分配给组。要配置带宽预留策略,需要打开带宽策略(Bandwidth Policies)窗口进行配置。在这个窗口中,主要分为上下两部分内容。上面一部分就是配置带宽预留策略的;下面一部分则是配置带宽监管策略。在配置带宽预留策略时,主要需要维护两个参数。一是带宽预留复选框。默认情况下,VPN集中器没有启用这个功能。笔者的建议是刚开始部署的VPN虚拟专用网络的时候,也要启用他。在调试完毕后,再启用这项功能。这可以减少调试的错误几率。如果网络管理员要启用这项功能,就需要选中这个复选框。只有如此,第一个参数才会变为可维护。二是最低带宽,即预留带宽。当网络拥塞时,为每个用户预留的带宽。

  在具体的配置过程中,笔者还需要强调一点。在实际过程中,网络管理员可以根据用户性质的不同分配不同的预留带宽。如管理员可能由于维护服务器的需要,需要占用比较大的带宽。此时就可以为网络管理员单独设置一个预留带宽策略,为其分配比较大的预留带宽。通过这种方式,可以实现类似“协议优先性”的功能。当网络拥塞时,首先保障网络管理员的流量。如有时候网络管理员也可能会给一些企业管理者或者客户比较到的预留带宽,也可以为他们配置预留带宽策略来实现。可见建立多个预留带宽策略可以实现差别待遇,从而提高预留带宽的灵活性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章