VPN(虛擬專用網(wǎng))是企業(yè)解決遠(yuǎn)程訪問的首選。如下圖，企業(yè)通過一個思科的VPN集中器，實現(xiàn)外網(wǎng)用戶通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的文件服務(wù)器等資源。不過企業(yè)配置了VPN虛擬專用網(wǎng)之后，也可能會帶來一系列的問題。如當(dāng)外部用戶訪問者比較多或者外部用戶與文件服務(wù)器之間傳輸大容量文件時就會對企業(yè)內(nèi)部用戶正常訪問互聯(lián)網(wǎng)產(chǎn)生影響，因為其要占用比較大的帶寬，無論是對防火墻還是企業(yè)內(nèi)部的交換機(jī)或者路由器都會帶來比較大的壓力。而且如果對VPN的最大帶寬進(jìn)行限制，也可以把非法攻擊者通過VPN對企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊降低到最低。為此，對VPN虛擬專用網(wǎng)的傳輸帶寬進(jìn)行限制是有必要的。筆者在接下去的內(nèi)容中就談?wù)劰P者是如何實現(xiàn)對這個VPN帶寬的監(jiān)管。

一、最高傳輸率限制的缺陷

現(xiàn)在市面上大部分的網(wǎng)絡(luò)產(chǎn)品，都有最高數(shù)據(jù)傳輸率的限制。如在思科的VPN集中器中，為了滿足用戶對于VPN虛擬專用網(wǎng)帶寬監(jiān)管的需求，集中器就提供了最高的數(shù)據(jù)傳輸率。帶寬監(jiān)管功能可以設(shè)置隧道傳輸數(shù)據(jù)流的最高限制。如可以設(shè)置外部用戶(全部)通過集中器訪問企業(yè)內(nèi)部文件服務(wù)器時最大的速率為100Kbit/S(同時訪問用戶的流量總和)。集中器接收到的數(shù)據(jù)流，如果低于這個速率就傳輸;如果高于這個速率則就丟棄。

這個控制措施看起來是不錯，但是，其有一個缺陷。眾所周知，網(wǎng)絡(luò)流量具有突發(fā)性的特點。如果規(guī)定的這么死的話，那么維護(hù)起來就會很麻煩。為此我們網(wǎng)絡(luò)管理員往往希望網(wǎng)絡(luò)設(shè)備能夠提供一些針對突發(fā)流量的應(yīng)對措施。還好思科的VPN集中器沒有讓我們失望。在這個產(chǎn)品中，主要提供了兩個指標(biāo)讓我們來監(jiān)管VPN的帶寬，這兩個指標(biāo)分別為監(jiān)管速率和突發(fā)數(shù)據(jù)流的大小。監(jiān)管速率就是我們常說的最高傳輸速率，專業(yè)的定義就是指穩(wěn)定的隧道傳輸數(shù)據(jù)流的最高傳輸速率。突發(fā)數(shù)據(jù)流的大小是指在突發(fā)數(shù)據(jù)流被抑制到監(jiān)管速率門限值以下之前，瞬時出現(xiàn)的突發(fā)數(shù)據(jù)流的最大值，也就是說其允許超過最大傳輸率的部分。集中器允許瞬時突發(fā)數(shù)據(jù)流的速率高于監(jiān)管速率，達(dá)到突發(fā)速率。但是這有一個時間與量上的限制。如果一直有突發(fā)數(shù)據(jù)量且超過突發(fā)速率，則集中器就會認(rèn)為這個數(shù)據(jù)流可能有問題，就會強(qiáng)制執(zhí)行監(jiān)管速率，集中器開始丟棄數(shù)據(jù)幀。

可見，監(jiān)管速率(最大傳輸速率)與突發(fā)速率結(jié)合，可以實現(xiàn)對VPN帶寬的靈活配置。

二、針對不同的用戶設(shè)置不同的傳輸帶寬限制

由于不同的用戶對于帶寬的傳輸速率要求不同，為此網(wǎng)絡(luò)管理員可以根據(jù)用戶類型的不同來分別設(shè)置VPN帶寬的限制。如對于普通用戶來說，其由于只是正常的文件訪問，故其基本上不會引起突發(fā)數(shù)據(jù)流(除非其帳戶泄露，被別人用來攻擊)，所以不需要為其設(shè)置突發(fā)速率，而只需要為其配置監(jiān)管速率即可。而對于網(wǎng)絡(luò)管理員來說，有時候出于文件服務(wù)器內(nèi)核的升級(如文件服務(wù)器采用的是Unix系統(tǒng))、服務(wù)器的調(diào)式等等的需要，可能會引發(fā)突發(fā)數(shù)據(jù)流。為此就可以為網(wǎng)絡(luò)管理員同時設(shè)置監(jiān)管速率與突發(fā)速率，以滿足其突發(fā)數(shù)據(jù)流的需要。若要實現(xiàn)這個需求，則網(wǎng)絡(luò)管理員可以通過組來實現(xiàn)。即可以為網(wǎng)絡(luò)管理員設(shè)置一個維護(hù)組，然后設(shè)置監(jiān)管速率與突發(fā)速率。然后把網(wǎng)絡(luò)管理員加入到這個組中。而對于普通用戶則可以不設(shè)置突發(fā)速率，則其只能夠大到最大的監(jiān)管速率，即使有最大突發(fā)數(shù)據(jù)流的存在。#p#

三、三步做好VPN帶寬的監(jiān)管設(shè)置

要對VPN帶寬實現(xiàn)監(jiān)管，主要通過三個步驟來實現(xiàn)，分別為定義監(jiān)管策略、降策略分配到特定的接口、分配組等。具體的配置如下：

第一步：配置監(jiān)管策略

網(wǎng)絡(luò)管理員若要配置VPN集中器的監(jiān)管策略(以思科VPN3000為例)，主要是在Bandwidth Policies窗口中實現(xiàn)。在這個窗口中主要分為上下兩個部分。上面部分主要用來配置預(yù)留帶寬，下面一部分就是用來配置監(jiān)管速率策略。在配置監(jiān)管速率策略的時候，主要就是配置兩個值分別為監(jiān)管速率(PoliclingRate)與正常突發(fā)數(shù)據(jù)流大小(NormalBurstSize)。注意這個監(jiān)管速率不同的產(chǎn)品其最大的允許的速率是不同的。故管理員在配置之前需要先查看相關(guān)的說明書，然后再進(jìn)行配置。以VPN3000為例，其監(jiān)管速率的范圍為56-100Kbit/s。默認(rèn)情況下為56Kbit/s。在配置監(jiān)管速率與正常突發(fā)數(shù)據(jù)流大小這兩個參數(shù)時，筆者有如下建議兩個建議。

一是注意集中器傳輸移動速率低于監(jiān)管速率的數(shù)據(jù)流，集中器將會丟失數(shù)據(jù)幀。為此到底多大的監(jiān)管速率是合適的，網(wǎng)絡(luò)管理員還是需要根據(jù)企業(yè)自身的需求來定。筆者的做法是，剛開始不啟用配置監(jiān)管策略。對VPN的網(wǎng)絡(luò)流量先規(guī)測一段時間，得出一個合理的值。經(jīng)過一個月的規(guī)測之后，再起用監(jiān)管策略。如此的話，網(wǎng)絡(luò)管理員就可以有參考的依據(jù)。從而就不會因為這個監(jiān)管速率配置不合適而給用戶的正常訪問帶來不利的影響。

二是確定了合適的監(jiān)管速率之后，是否要啟用突發(fā)速率要結(jié)合企業(yè)的實際情況來定義。如果企業(yè)的網(wǎng)絡(luò)應(yīng)用中，有些會觸發(fā)突發(fā)數(shù)據(jù)流，則就需要啟用。否則的話，就沒有啟用的必要。因為這個突發(fā)數(shù)據(jù)流很有可能是病毒或者木馬之類造成的。所以不啟用這個突發(fā)數(shù)據(jù)流也是對企業(yè)內(nèi)部網(wǎng)絡(luò)的一種保障。根據(jù)筆者的經(jīng)驗，筆者建議對于普通用戶來說，可以不設(shè)置正常突發(fā)數(shù)據(jù)流大小。而對于管理員來說，出于日常維護(hù)的需要，就可能需要設(shè)置這個正常突發(fā)數(shù)據(jù)流大小，以滿足其維護(hù)過程中出現(xiàn)的突發(fā)數(shù)據(jù)流。如現(xiàn)在筆者配置了一個監(jiān)管策略，監(jiān)管速率與正常突發(fā)數(shù)據(jù)流大小都采用默認(rèn)值。那么任何一個分配了這項策略的遠(yuǎn)程用戶，他的穩(wěn)定隧道傳輸數(shù)據(jù)流的最高速率為56Kbit/s。集中器在通過丟棄數(shù)據(jù)報限制數(shù)據(jù)流之前，他可以支持的瞬時突發(fā)數(shù)據(jù)流為10500字節(jié)(正常突發(fā)數(shù)據(jù)流的默認(rèn)大小)。網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的實際應(yīng)用來調(diào)整這兩個參數(shù)。

第二步：將策略分配給集中器接口

策略配置好之后，跟訪問控制列表一樣，其默認(rèn)情況下是不會啟用的。網(wǎng)絡(luò)管理員需要把這個策略分配給集中器的接口之后才會啟用。要為某個特定的接口啟用監(jiān)管策略，則需要打開接口配置窗口，如Ethernet2窗口。在這個窗口中，可以設(shè)置這個接口是否需要啟用帶寬管理。如需要啟用的話，則就可以在此為接口分配其要使用的策略。網(wǎng)絡(luò)管理員可以在帶寬策略(Bandwidth Policy)處選擇剛才建立的監(jiān)管策略。

在監(jiān)管策略應(yīng)用時，筆者還需要向網(wǎng)絡(luò)管理員提醒一點，即連接速率對監(jiān)管策略應(yīng)用的影響。鏈接速率必須是基于可用的因特網(wǎng)帶寬而不是Lan物理連接速率。如果鏈接速率低于監(jiān)管速率的綜合，則部分遠(yuǎn)程用戶建達(dá)不到監(jiān)管速率。這是什么意思呢?簡單的將就是當(dāng)互聯(lián)網(wǎng)傳輸速率比監(jiān)管策略設(shè)置的監(jiān)管速率要低的話，則遠(yuǎn)程用戶就永遠(yuǎn)達(dá)不到監(jiān)管策略規(guī)定的最大傳輸速率。

第三步：分配組

思科的集中器中，即可以將策略應(yīng)用到用戶，也可以將策略應(yīng)用的組中。如果企業(yè)需要遠(yuǎn)程訪問的用戶比較多的話，而且有需要為其分配不同的監(jiān)管策略，則最好能夠通過組來管理，以減少維護(hù)的工作量。其實這個步驟跟上面第二個步驟是并行的，在同一個配置窗口中實現(xiàn)。在配置的時候，網(wǎng)絡(luò)管理員需要注意VPN集中器的一個默認(rèn)法則。即如果網(wǎng)絡(luò)管理員沒有為遠(yuǎn)程用戶所在的組設(shè)置專門定義的監(jiān)管速率，則VPN集中器會將接口的監(jiān)管速率直接分配給用戶。也就是說，VPN集中器不像微軟操作系統(tǒng)，默認(rèn)情況下其是不通過組來管理用戶的。這一點網(wǎng)絡(luò)管理員要特別注意。

【編輯推薦】

1. VPN企業(yè)解決方案
2. 推多線路均衡負(fù)載VPN 增加聯(lián)機(jī)速度