如果你曾经在远程工作时需要连接到公司网络,那么你很可能对虚拟专用网络(VPN)的概念并不陌生。 VPN 通过为你的在线活动提供额外的安全和隐私保护,建立从你的设备到网络任何其他部分的安全连接。 VPN 是企业网络不可或缺的一部分,但往往会增加网络监控和故障排除的复杂性。 在今天的博文中,我们将分析 VPN 对最终用户体验的影响,以及如何监控面向 VPN 的网络。
蜜蜂翻墙
VPN 在互联网上的两个端点之间提供加密和认证的通信通道或隧道。 隧道的验证和加密取决于底层的VPN技术如点对点隧道协议(PPTP)或第二层隧道协议/IPSec(L2TP/IPSec)。 VPN 还可以结合使用独立的加密和验证技术。 例如,流行的 VPN 服务之一 OpenVPN 使用 OpenSSL、TLS、HMAC 进行加密,并使用基于证书或基于用户名/密码的技术进行身份验证。 VPN 技术的选择取决于各种因素,如速度、安全性、操作系统兼容性等。
VPN 也有两种不同的类型,取决于隧道的建立方式和隧道两端的实体。 站点到站点 VPN 连接两个网络,例如分支机构和数据中心,并使用一个 VPN 网关。 VPN 网关负责管理身份验证和加密,无需在终端设备上安装任何仪器。 远程访问 VPN 将台式机和笔记本电脑等独立主机连接到网络。 终端主机需要额外的 VPN 客户端软件才能连接到 VPN。 大多数操作系统都带有本地 VPN 客户端。 下图 1 显示了站点到站点 VPN 与远程访问 VPN 的区别。 今天的博文将只关注远程访问或客户端 VPN 连接。
蜜蜂翻墙
随着越来越多的用户从远程位置和不安全的 Wi-Fi 热点进行连接,企业建议使用 VPN 来防止数据泄露。 就其本质而言,VPN 通过 "虚拟 "连接到隧道另一端的网络,掩盖了隧道一端设备的 IP 地址,从而掩盖了最终用户的真实位置。 因此,VPN 也被用来规避政治或政府对互联网的审查。 最有名的例子之一是使用绕过 VPN的中国的防火长城这导致中国禁用VPN服务。
蜜蜂翻墙
尽管 VPN 提供了额外的安全层,但排除性能问题的难度也很大。 VPN 会混淆网络路径,增加网络延迟,并直接影响应用程序性能。 监控通过 VPN 隧道的网络路径、分析 VPN 服务器的损耗和延迟以及将其对最终用户体验的影响联系起来,这些都不是传统监控工具的重点。 如果看不到,就无法管理!
通过端点代理,您可以了解并可视化基于客户端的 VPN 连接对终端用户性能的影响。 端点代理是部署在终端用户笔记本电脑和台式机上的浏览器插件,可直接从基于浏览器的活动中记录用户会话。 如果识别到 VPN,端点代理会跟踪 VPN 服务器或集中器的性能,并将其与应用程序性能和底层网络行为相关联。 你可以快速识别远程用户的性能是否受到 VPN 行为或 ISP 中断的影响。
蜜蜂翻墙
VPN 在数据包的传输路径上增加了一条路径,有时会对网络延迟产生负面影响。 延迟的增加可能会影响应用程序的性能。
当远程员工无法访问关键应用程序时,会严重影响业务和员工的工作效率。 对终端用户性能的影响有多种表现形式,从页面加载迟缓到连接不稳定。 在下面的章节中,我们将分析终端用户体验与 VPN 性能之间的关系。 让我们来看看三种情况。
网络延迟增加
对于基于 VPN 的连接,页面加载时间的增加可能表明网络延迟增加。 延迟是指从用户到应用程序、网页或 VPN 服务器的平均往返时间,是它们之间距离的一种表示。
如果插入 VPN 服务会增加访问网页的延迟,你可能需要查看一下数据包所经过的路径。 请看下面的例子。 当我通过 VPN 服务从旧金山的笔记本电脑访问 Salesforce 时,我注意到网络延迟(图 2)比平均基线(50 毫秒)高出很多(402 毫秒)。
排除高延迟故障的第一步是查看网络视图(图 3),以直观了解从我位于旧金山的笔记本电脑到位于亚利桑那州凤凰城的 Salesforce NA38 实例的路径。 显而易见的是,我连接的 VPN 服务器位于罗马尼亚,这导致数据包要穿越半个地球才能到达目的地。 难怪到达 Salesforce 需要 402 毫秒!
有时,配置错误或连接到错误的 VPN 服务器会导致数据包走未经优化的路线。 可视化 VPN 隧道和互联网内的网络有助于发现有时难以察觉的问题。
应用程序不可用
VPN 服务器的丢包率升高会对应用程序的可用性产生不利影响。 端点代理收集的数据直观地反映了所有网段的丢包情况,包括 VPN 隧道中的节点,以及每个会话的 VPN 丢失和延迟。 当这些数据与应用层面的页面成功率指标相关联时,就会变得非常强大。 定期报告页面成功率和 VPN 服务器损耗等参数可以总结出规律和相关性。 请注意图 4 中 VPN 损失的激增与页面成功率指标的下降之间的关联。
失去互联网连接
您是否遇到过这样的情况:连接到 VPN 后,对公共域的访问被关闭? 出现这种情况的原因可能是 VPN 服务内部的简单错误配置,也可能是企业为限制 VPN 访问而配置的规则。 不管是哪种情况,对于用户和 IT 人员来说,解决这个问题都是非常令人沮丧和具有挑战性的。
几天前,我在罗马尼亚连接 VPN 服务时就遇到了这种情况。 我失去了与外部世界的所有连接,无法访问 Salesforce、Okta 和 Google Drive。 通过端点代理数据中的单个用户会话(图 5),我发现这是因为 DNS 相关的问题。
由于笔记本电脑的所有流量都是通过 VPN 隧道传输的,因此 VPN 服务中配置的 DNS 名称服务器负责 IP 地址解析。 然而,VPN DNS 服务器的主服务器和辅助服务器(图 6)都无法解析这些域。 恰巧 VPN 可用的 DNS 服务器出现了问题,导致任何在线活动受阻。
DNS 问题也从网络层面进行了验证(图 7)。
蜜蜂翻墙
none免费试用.
