利用策略实现企业带宽监管覆盖

8月1日 利用策略实现企业VPN带宽监管1

VPN(虚拟专用)是企业解决远程访问的首选。如下图，企业通过一个思科的VPN集中器，实现外用户通过互联访问企业内部的文件服务器等资源。不过企业配置了VPN虚拟专用之后，也可能会带来一系列的问题。如当外部用户访问者比较多或者外部用户与文件服务器之间传输大容量文件时就会对企业内部用户正常访问互联产生影响，因为其要占用比较大的带宽，无论是对防火墙还是企业内部的交换机或者路由器都会带来比较大的压力。而且如果对VPN的最大带宽进行限制，也可以把非法攻击者通过VPN对企业内部络的攻击降低到最低。为此，对VPN虚拟专用的传输带宽进行限制是有必要的。笔者在接下去的内容中就谈谈笔者是如何实现对这个VPN带宽的监管。

一、最高传输率限制的缺陷

现在市面上大部分的络产品，都有最高数据传输率的限制。如在思科的VPN集中器中，为了满足用户对于VPN虚拟专用带宽监管的需求，集中器就提供了最高的数据传输率。带宽监管功能可以设置隧道传输数据流的最高限制。如可以设置外部用户(全部)通过集中器访问企业内部文件服务器时最大的速率为100Kbit/S(同时访问用户的流量总和)。集中器接收到的数据流，如果低于这个速率就传输;如果高于这个速率则就丢弃。

这个控制措施看起来是不错，但是，其有一个缺陷。众所周知，络流量具有突发性的特点。如果规定的这么死的话，那么维护起来就会很麻烦。为此我们络管理员往往希望络设备能够提供一些针对突发流量的应对措施。还好思科的VPN集中器没有让我们失望。在这个产品中，主要提供了两个指标让我们来监管VPN的带宽，这两个指标分别为监管速率和突发数据流的大小。监管速率就是我们常说的最高传输速率，专业的定义就是指稳定的隧道传输数据流的最高传输速率。突发数据流的大小是指在突发数据流被抑制到监管速率门限值以下之前，瞬时出现的突发数据流的最大值，也就是说其允许超过最大传输率的部分。集中器允许瞬时突发数据流的速率高于监管速率，达到突发速率。但是这有一个时间与量上的限制。如果一直有突发数据量且超过突发速率，则集中器就会认为这个数据流可能有问题，就会强制执行监管速率，集中器开始丢弃数据帧。