VPN(虛擬專用網(wǎng))是企業(yè)解決遠(yuǎn)程訪問的首選。如下圖，企業(yè)通過(guò)一個(gè)思科的VPN集中器，實(shí)現(xiàn)外網(wǎng)用戶通過(guò)互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的文件服務(wù)器等資源。不過(guò)企業(yè)配置了VPN虛擬專用網(wǎng)之后，也可能會(huì)帶來(lái)一系列的問題。如當(dāng)外部用戶訪問者比較多或者外部用戶與文件服務(wù)器之間傳輸大容量文件時(shí)就會(huì)對(duì)企業(yè)內(nèi)部用戶正常訪問互聯(lián)網(wǎng)產(chǎn)生影響，因?yàn)槠湟加帽容^大的帶寬，無(wú)論是對(duì)防火墻還是企業(yè)內(nèi)部的交換機(jī)或者路由器都會(huì)帶來(lái)比較大的壓力。而且如果對(duì)VPN的最大帶寬進(jìn)行限制，也可以把非法攻擊者通過(guò)VPN對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊降低到最低。為此，對(duì)VPN虛擬專用網(wǎng)的傳輸帶寬進(jìn)行限制是有必要的。筆者在接下去的內(nèi)容中就談?wù)劰P者是如何實(shí)現(xiàn)對(duì)這個(gè)VPN帶寬的監(jiān)管。

一、最高傳輸率限制的缺陷

現(xiàn)在市面上大部分的網(wǎng)絡(luò)產(chǎn)品，都有最高數(shù)據(jù)傳輸率的限制。如在思科的VPN集中器中，為了滿足用戶對(duì)于VPN虛擬專用網(wǎng)帶寬監(jiān)管的需求，集中器就提供了最高的數(shù)據(jù)傳輸率。帶寬監(jiān)管功能可以設(shè)置隧道傳輸數(shù)據(jù)流的最高限制。如可以設(shè)置外部用戶(全部)通過(guò)集中器訪問企業(yè)內(nèi)部文件服務(wù)器時(shí)最大的速率為100Kbit/S(同時(shí)訪問用戶的流量總和)。集中器接收到的數(shù)據(jù)流，如果低于這個(gè)速率就傳輸;如果高于這個(gè)速率則就丟棄。

這個(gè)控制措施看起來(lái)是不錯(cuò)，但是，其有一個(gè)缺陷。眾所周知，網(wǎng)絡(luò)流量具有突發(fā)性的特點(diǎn)。如果規(guī)定的這么死的話，那么維護(hù)起來(lái)就會(huì)很麻煩。為此我們網(wǎng)絡(luò)管理員往往希望網(wǎng)絡(luò)設(shè)備能夠提供一些針對(duì)突發(fā)流量的應(yīng)對(duì)措施。還好思科的VPN集中器沒有讓我們失望。在這個(gè)產(chǎn)品中，主要提供了兩個(gè)指標(biāo)讓我們來(lái)監(jiān)管VPN的帶寬，這兩個(gè)指標(biāo)分別為監(jiān)管速率和突發(fā)數(shù)據(jù)流的大小。監(jiān)管速率就是我們常說(shuō)的最高傳輸速率，專業(yè)的定義就是指穩(wěn)定的隧道傳輸數(shù)據(jù)流的最高傳輸速率。突發(fā)數(shù)據(jù)流的大小是指在突發(fā)數(shù)據(jù)流被抑制到監(jiān)管速率門限值以下之前，瞬時(shí)出現(xiàn)的突發(fā)數(shù)據(jù)流的最大值，也就是說(shuō)其允許超過(guò)最大傳輸率的部分。集中器允許瞬時(shí)突發(fā)數(shù)據(jù)流的速率高于監(jiān)管速率，達(dá)到突發(fā)速率。但是這有一個(gè)時(shí)間與量上的限制。如果一直有突發(fā)數(shù)據(jù)量且超過(guò)突發(fā)速率，則集中器就會(huì)認(rèn)為這個(gè)數(shù)據(jù)流可能有問題，就會(huì)強(qiáng)制執(zhí)行監(jiān)管速率，集中器開始丟棄數(shù)據(jù)幀。

可見，監(jiān)管速率(最大傳輸速率)與突發(fā)速率結(jié)合，可以實(shí)現(xiàn)對(duì)VPN帶寬的靈活配置。

二、針對(duì)不同的用戶設(shè)置不同的傳輸帶寬限制

由于不同的用戶對(duì)于帶寬的傳輸速率要求不同，為此網(wǎng)絡(luò)管理員可以根據(jù)用戶類型的不同來(lái)分別設(shè)置VPN帶寬的限制。如對(duì)于普通用戶來(lái)說(shuō)，其由于只是正常的文件訪問，故其基本上不會(huì)引起突發(fā)數(shù)據(jù)流(除非其帳戶泄露，被別人用來(lái)攻擊)，所以不需要為其設(shè)置突發(fā)速率，而只需要為其配置監(jiān)管速率即可。而對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，有時(shí)候出于文件服務(wù)器內(nèi)核的升級(jí)(如文件服務(wù)器采用的是Unix系統(tǒng))、服務(wù)器的調(diào)式等等的需要，可能會(huì)引發(fā)突發(fā)數(shù)據(jù)流。為此就可以為網(wǎng)絡(luò)管理員同時(shí)設(shè)置監(jiān)管速率與突發(fā)速率，以滿足其突發(fā)數(shù)據(jù)流的需要。若要實(shí)現(xiàn)這個(gè)需求，則網(wǎng)絡(luò)管理員可以通過(guò)組來(lái)實(shí)現(xiàn)。即可以為網(wǎng)絡(luò)管理員設(shè)置一個(gè)維護(hù)組，然后設(shè)置監(jiān)管速率與突發(fā)速率。然后把網(wǎng)絡(luò)管理員加入到這個(gè)組中。而對(duì)于普通用戶則可以不設(shè)置突發(fā)速率，則其只能夠大到最大的監(jiān)管速率，即使有最大突發(fā)數(shù)據(jù)流的存在。#p#

三、三步做好VPN帶寬的監(jiān)管設(shè)置

要對(duì)VPN帶寬實(shí)現(xiàn)監(jiān)管，主要通過(guò)三個(gè)步驟來(lái)實(shí)現(xiàn)，分別為定義監(jiān)管策略、降策略分配到特定的接口、分配組等。具體的配置如下：

第一步：配置監(jiān)管策略

網(wǎng)絡(luò)管理員若要配置VPN集中器的監(jiān)管策略(以思科VPN3000為例)，主要是在Bandwidth Policies窗口中實(shí)現(xiàn)。在這個(gè)窗口中主要分為上下兩個(gè)部分。上面部分主要用來(lái)配置預(yù)留帶寬，下面一部分就是用來(lái)配置監(jiān)管速率策略。在配置監(jiān)管速率策略的時(shí)候，主要就是配置兩個(gè)值分別為監(jiān)管速率(PoliclingRate)與正常突發(fā)數(shù)據(jù)流大小(NormalBurstSize)。注意這個(gè)監(jiān)管速率不同的產(chǎn)品其最大的允許的速率是不同的。故管理員在配置之前需要先查看相關(guān)的說(shuō)明書，然后再進(jìn)行配置。以VPN3000為例，其監(jiān)管速率的范圍為56-100Kbit/s。默認(rèn)情況下為56Kbit/s。在配置監(jiān)管速率與正常突發(fā)數(shù)據(jù)流大小這兩個(gè)參數(shù)時(shí)，筆者有如下建議兩個(gè)建議。

一是注意集中器傳輸移動(dòng)速率低于監(jiān)管速率的數(shù)據(jù)流，集中器將會(huì)丟失數(shù)據(jù)幀。為此到底多大的監(jiān)管速率是合適的，網(wǎng)絡(luò)管理員還是需要根據(jù)企業(yè)自身的需求來(lái)定。筆者的做法是，剛開始不啟用配置監(jiān)管策略。對(duì)VPN的網(wǎng)絡(luò)流量先規(guī)測(cè)一段時(shí)間，得出一個(gè)合理的值。經(jīng)過(guò)一個(gè)月的規(guī)測(cè)之后，再起用監(jiān)管策略。如此的話，網(wǎng)絡(luò)管理員就可以有參考的依據(jù)。從而就不會(huì)因?yàn)檫@個(gè)監(jiān)管速率配置不合適而給用戶的正常訪問帶來(lái)不利的影響。

二是確定了合適的監(jiān)管速率之后，是否要啟用突發(fā)速率要結(jié)合企業(yè)的實(shí)際情況來(lái)定義。如果企業(yè)的網(wǎng)絡(luò)應(yīng)用中，有些會(huì)觸發(fā)突發(fā)數(shù)據(jù)流，則就需要啟用。否則的話，就沒有啟用的必要。因?yàn)檫@個(gè)突發(fā)數(shù)據(jù)流很有可能是病毒或者木馬之類造成的。所以不啟用這個(gè)突發(fā)數(shù)據(jù)流也是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的一種保障。根據(jù)筆者的經(jīng)驗(yàn)，筆者建議對(duì)于普通用戶來(lái)說(shuō)，可以不設(shè)置正常突發(fā)數(shù)據(jù)流大小。而對(duì)于管理員來(lái)說(shuō)，出于日常維護(hù)的需要，就可能需要設(shè)置這個(gè)正常突發(fā)數(shù)據(jù)流大小，以滿足其維護(hù)過(guò)程中出現(xiàn)的突發(fā)數(shù)據(jù)流。如現(xiàn)在筆者配置了一個(gè)監(jiān)管策略，監(jiān)管速率與正常突發(fā)數(shù)據(jù)流大小都采用默認(rèn)值。那么任何一個(gè)分配了這項(xiàng)策略的遠(yuǎn)程用戶，他的穩(wěn)定隧道傳輸數(shù)據(jù)流的最高速率為56Kbit/s。集中器在通過(guò)丟棄數(shù)據(jù)報(bào)限制數(shù)據(jù)流之前，他可以支持的瞬時(shí)突發(fā)數(shù)據(jù)流為10500字節(jié)(正常突發(fā)數(shù)據(jù)流的默認(rèn)大小)。網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的實(shí)際應(yīng)用來(lái)調(diào)整這兩個(gè)參數(shù)。

第二步：將策略分配給集中器接口

策略配置好之后，跟訪問控制列表一樣，其默認(rèn)情況下是不會(huì)啟用的。網(wǎng)絡(luò)管理員需要把這個(gè)策略分配給集中器的接口之后才會(huì)啟用。要為某個(gè)特定的接口啟用監(jiān)管策略，則需要打開接口配置窗口，如Ethernet2窗口。在這個(gè)窗口中，可以設(shè)置這個(gè)接口是否需要啟用帶寬管理。如需要啟用的話，則就可以在此為接口分配其要使用的策略。網(wǎng)絡(luò)管理員可以在帶寬策略(Bandwidth Policy)處選擇剛才建立的監(jiān)管策略。

在監(jiān)管策略應(yīng)用時(shí)，筆者還需要向網(wǎng)絡(luò)管理員提醒一點(diǎn)，即連接速率對(duì)監(jiān)管策略應(yīng)用的影響。鏈接速率必須是基于可用的因特網(wǎng)帶寬而不是Lan物理連接速率。如果鏈接速率低于監(jiān)管速率的綜合，則部分遠(yuǎn)程用戶建達(dá)不到監(jiān)管速率。這是什么意思呢?簡(jiǎn)單的將就是當(dāng)互聯(lián)網(wǎng)傳輸速率比監(jiān)管策略設(shè)置的監(jiān)管速率要低的話，則遠(yuǎn)程用戶就永遠(yuǎn)達(dá)不到監(jiān)管策略規(guī)定的最大傳輸速率。

第三步：分配組

思科的集中器中，即可以將策略應(yīng)用到用戶，也可以將策略應(yīng)用的組中。如果企業(yè)需要遠(yuǎn)程訪問的用戶比較多的話，而且有需要為其分配不同的監(jiān)管策略，則最好能夠通過(guò)組來(lái)管理，以減少維護(hù)的工作量。其實(shí)這個(gè)步驟跟上面第二個(gè)步驟是并行的，在同一個(gè)配置窗口中實(shí)現(xiàn)。在配置的時(shí)候，網(wǎng)絡(luò)管理員需要注意VPN集中器的一個(gè)默認(rèn)法則。即如果網(wǎng)絡(luò)管理員沒有為遠(yuǎn)程用戶所在的組設(shè)置專門定義的監(jiān)管速率，則VPN集中器會(huì)將接口的監(jiān)管速率直接分配給用戶。也就是說(shuō)，VPN集中器不像微軟操作系統(tǒng)，默認(rèn)情況下其是不通過(guò)組來(lái)管理用戶的。這一點(diǎn)網(wǎng)絡(luò)管理員要特別注意。

【編輯推薦】

1. VPN企業(yè)解決方案
2. 推多線路均衡負(fù)載VPN 增加聯(lián)機(jī)速度