新型冠狀病毒疫情肆虐,世界各國相繼淪陷,迫使全球數百萬員工開始在家工作。連線模式和勞動力管理突逢劇變,致使部分企業陷入技術方面的困境,因為 IT 團隊難以靠著現有的網路功能支援數百甚至數千名員工。
VPN 負載尤其棘手。這篇文章探討的三種方法能避免 VPN 超載,在家工作活動量激增之際,這些方法也能幫助企業維持正常運作。
1.使用頻道分流 VPN
大多數辦公室設定 VPN 的目的是要使所有流量通過使用者的 VPN 頻道,以利檢查及監控流量。檢查及監控的目標不只限於共用檔案要求之類的辦公室流量,也包括非必要流量,甚至是網際網路流量。因此,每一個 HTTPS 要求和回應都必須通過辦公室 WAN 的上傳及下載端兩次,這種情況會嚴重佔用頻寬。
雪上加霜的是,倘若連上 Office 365、Skype 和 Slack 等線上應用程式的流量都是加密流量,這麼做根本是多此一舉。在這樣的情況下,只要能略過辦公室 WAN,讓流量直接從使用者流向雲端,就能大幅節約頻寬。
限定只讓辦公室流量通過辦公室 VPN,同時允許所有其他網際網路流量直接流向其目的地,就能大幅減少 VPN 流量,而且,要這麼做很容易,管理員只要停用全域路由功能,只讓一或多個辦公室子網路通過 VPN 即可。當然,這種方式未必可行,需視法遵與監管環境而定,因此,請務必先確認這一點。
如果您不願意全面放棄控管網際網路流量,也有別的辦法,那就是只讓確定安全的服務繞過 VPN。Microsoft 鼓勵其客戶採用這種方式大大提升 Office 365 流量的效益,同時也提供用於識別 MS 服務端點的 API,您可以使用 PowerShell 指令碼查詢這個 API。
2.教育使用者,以及安排使用 VPN 的優先順序
無論您是否預設使用頻道分流 VPN,使用者對 VPN 造成的負載都有可能超出實際需求。過去幾十年來,SaaS 應用程式已經取代了許多必須使用 VPN 的應用程式和檔案共用技術,前者採用專用安全措施,不需要使用 VPN。儘管如此,許多使用者在使用 Office 365 這類雲端應用程式時,仍會繼續使用 VPN,而這類應用程式有專用的保護防火牆和篩選程式,不需要使用 VPN。正因如此,您必須知道是誰在使用您的 VPN,以及這些使用者為何要使用您的 VPN,還要向使用者清楚說明哪些服務仍需要使用 VPN、哪些服務則不需要。只要能做到這一點,即使不設定分流頻道也能大幅減少 VPN 負載。
3.監控可能發生的問題
最後,如果想密切注意 VPN 正在使用的頻寬,以及 WAN 和網路的健全程度,就要嚴密監控 WAN 的頻寬使用量和 VPN 使用情形。不論使用哪一種監控工具,您都應該要能夠使用 SNMP 輪詢或設陷監控 VPN 通道的上傳/下載狀態,但您也應該試著盡可能收集使用者名稱、IP 位址、本機位址、用戶端版本、持續連線時長、連線開始/結束時間,以及頻寬使用情形。如此一來,您才能搶在使用者覺得網路不好用之前掌握 VPN 整體連線狀況、找出佔用頻寬的元凶,以及判斷何時需要增加容量。
監控總體頻寬也是個好方法。即時監控可讓管理員辨別佔用頻寬的介面/連結/應用程式/使用者/通訊協定,也可以讓您揪出浪費頻寬的元凶,以利釋出資源用於對業務至關重要的應用程式。像 WhatsUp Gold 這樣的網路監控工具可以讓您追蹤網路所有層面的頻寬使用情形,裝置、應用程式、伺服器、連結連線、租用線路等等,全都無所遁形,因此,您可以清楚掌握網路頻寬使用量以及流量分析資訊。