随着新冠肺炎疫情的发展,越来越多的公司决定支持员工在家办公。远程工作者的增加意味着对虚拟专用网络(VPN)访问的需求增加。除了持续监控员工VPN的使用情况并根据需要调整许可证和位置的数量外,Autodesk还采取了其他步骤以确保员工拥有良好的连接。
以下是欧特克在VPN部署方面的战略和运营最佳实践,为在家工作的员工提供最佳的网络体验。
VPN策略与实施
有策略地定位您的VPN网关
- 将VPN网关放置在离公司员工最近的区域,以减少网络延迟。
保持广域网电路利用率在健康水平
- 任何时候都不要使用超过70-75%的电路。如果您能够在非重大危机期间保持这种使用水平,25%-30%的未使用带宽将支持不断增长的需求,直到可以购买新的升级。
- 为有双线或多条线路的站点提供适当的负载平衡配置,以防止单一线路过载。单个电路过载将导致该电路/路径上的用户速度变慢。
- 避免使用基于延迟的负载平衡算法。这些算法有时会将用户重定向到最远的可用网关,因为在请求连接时可能会暂时降低延迟。相反,您应该利用基于地理位置的负载平衡算法,这将提供更一致的服务。
尽可能使用主要的互联网服务提供商(ISP)
- 尽量避免从小型ISP供应商处购买带宽。他们的闲置产能可能有限,可能会与更大的供应商单独谈判,以增加产能,这将需要额外的时间,并可能增加费用。这也可能导致你不需要的过剩产能的长期协议。此外,主要的isp将有闲置的容量和更好的国际路由,这将提供与全球资源的可靠连接。
有效管理您的VPN许可证
- 通过许可证服务器管理您的VPN许可证,以便未使用的许可证可以在其他区域内动态重新部署以增加容量。这可以防止许可证被限制在单个站点或设备上。
有策略地选择您的VPN供应商
- 根据您公司的技术路线图选择VPN供应商。为了支持云优先的策略,目前市场上有一些基于云的VPN提供商。在性能、策略和安全性之间找到正确的平衡。
正在进行的VPN操作
向用户提供清晰的沟通
- 清楚地说明哪些应用需要VPN,并鼓励用户在不需要VPN会话时断开VPN会话。这节省了许可证,并防止纯基于互联网的流量冲击组织有限的VPN基础设施。
- 提供容易获取的信息和指导,说明在这段时间内会发生什么。
进行定期维护
- 启动定期固件升级和重新启动基础设施设备,以提供更好的连接稳定性。一旦业务连续性计划被激活,立即重新启动您的VPN服务器,以删除任何内存泄漏并重新设置会话以重新开始。
调整VPN超时
- 减少VPN空闲会话超时时间,使用户不会不必要地消耗VPN会话。
监控VPN的使用情况和性能
- 建立一个统一的监控和警报仪表板,以便所有与VPN服务相关的资源都能快速可见和可操作。
- 找出使用VPN带宽最多的用户,并与他们协调,将大型传输推迟到工作时间之后,这样就不会影响其他用户的VPN性能。
- 将用户分组到配置文件中,基于这些配置文件对VPN流量进行监控和影响。
启用分裂隧道功能
- 与您的安全团队检查,看看是否可以完全启用分离隧道,或在更多的域上启用,以减少VPN基础设施上基于internet的流量。
检查VPN模式
- 检查您的VPN服务器连接模式,并与您的安全团队合作,以确定在不影响安全性的情况下可以在多大程度上提高性能。
有效地解决问题
- 使用简单的基于gui的工具,例如WINMTR,来帮助排除故障。这些类型的工具在后台运行,并结合传统的基于命令行的故障排除工具,如“ping”和“traceroute”来收集统计信息。这些数据很容易理解,并且指出了从用户家用机器的直接下一跳开始的问题。
管理IP地址容量
- 确保DHCP作用域能够处理SSLVPN服务器覆盖区域的至少90-95%的用户。
为用户建立有效的沟通渠道
- 使用像Slack和Microsoft Teams这样的工具,这样用户可以轻松记录问题,工程师也可以快速跟进。这为用户提供了清晰度和透明度,并防止了解决问题的延迟。