原标题:VPN战疫百态
唠完全员远程办公、远程教学时代家庭网络那点事,今天再聊聊VPN。
远程办公刚开启的那几天,VPN成了最大的梗。
需要VPN的中小场景主要就是两类,第一类要满足网络连通性需求,让员工能远程回连到部署在企业本地的业务/生产系统,典型场景包括视频渲染、机器学习、图像处理及一些研发类工作。
另一类是为了安全需求,VPN要解决的是身份认证和数据私密性的问题,在规模大点的企业和金融保险那种对业务和数据安全比较看重的场景中较为常见。
对于大部分中小企业来说,在线业务就是钉钉等几个协同办公应用或垂直行业头部应用。这些应用都是SaaS,用不上VPN,别跟着瞎凑热闹。
这两类需求覆盖的诸多场景,在中小互联网企业中有着集中呈现。而中小互联网企业,又是格物资讯长期重点关注的客户群体。所以在近期的IT战疫中,我们收集到很多关于VPN部署使用的问题,也了解到很多有意思的信息。
客户是最好的产品经理,无论是赞美、建议、吐槽还是破口大骂,都让我们对VPN这种基础安全业务在互联网时代的应用有了新的思考。故而本篇文章也不只是信息汇总,还夹带了一些我们的想法,希望能给中小互联网企业和传统数通、安全厂商提供有益参考。
端
客户侧暴露出的第一个问题,是免费VPN系统的崩坏。
如其来的远程办公需求,让很多部署了免费VPN系统的企业领悟了什么叫做免费的才是最贵的。
免费VPN系统不少,可以帮有需求、有一定技术能力且预算紧张的企业解决有无问题。但当负载急剧上升时,免费VPN系统在可维护性、可管理性、强壮性、技术支持等方面的劣势,就被无限放大了。
这个锅,大部分企业IT运维人员背不动。
就算你是少数能过关的责任心爆棚的技术大拿,依然会在最后一个难题面前俯首称臣:由于众所周知的原因,免费VPN系统在国内互联网上使用时并不稳定,时不时抖一下,时不时断一下。用的人少还能想想办法,突然全员VPN了,这个坑怎么填?
逐包排障?你确定你收到的包是对端发的么?
客户侧暴露出的第二个问题,是客户端的缺失。
可能因为VPN的传统客户大多数是行政与IT执行力比较强的行业和大企业,很多非VPN网关的商用VPN方案(如带VPN功能的防火墙)对多平台的支持并不友好,尤其是移动终端。
大企业行业嘛,手机、Pad办公需求相对少,VPN系统和终端又都有专人负责维护,再加上办公电脑经常是统一批量采购的模式,VPN客户端的安装配置可以实现标准化、自动化,这就不是个问题。
换做员工大多BYOD的中小企业就完蛋了,这种场景中终端品牌类型极其碎片化,VPN客户端的安装配置成了大问题。要是不巧再碰上个VPN系统不支持的平台,IT人员就有理说不清了。
插一句,我坚持认为不在SSL VPN的Web入口提供客户端下载链接的做法是耍流氓。
说到终端类型碎片化,就不能不提中国区AppStore。
忘了什么时候开始,中国区AppStore里就几乎看不到任何商业VPN客户端了。格物资讯在去年做过一次统计,除了思科的AnyConnect,其它所有海外主流厂商的VPN客户端都不见踪迹。
原因么,咱也不知道,咱也不敢问。听说很多厂商也头疼得很,天天被客户逼问,APP却一直也上不了架。
解决办法是有的。但实践证明,无论是AppleID换区还是开发者模式安装,都是有一定复杂度和风险的。更可怕的是,对于普遍缺乏行政强力支撑的中小企业IT来说,这种看似歪门邪道的安装方法经常遭到员工抵触,尤其在人家BYOD的情况下。
客户侧暴露出的第三个问题,是奇葩的IP段冲突。
在调研中,我们竟然听到三个企业IT吐槽同一个问题:员工家里局域网IP段和线上IP段冲突。
对于很多中小互联网企业来说,研发是基础,是核心竞争力,一定冲在最前方;企业IT是纯花钱的部分,普遍不受重视,建设一般相对滞后。
我们曾得到过这样的数据,只有一半互联网企业的IT部门归在研发体系,剩下的只能挂在行政乃至HR下委曲求全。
这个现实,让研发与企业IT缺乏沟通,埋下了不少隐患。
家里和线上IP段冲突就是一个很能说明问题的例子。无非是对网络没啥概念的码农随手给线上环境配了192.168.0.0/24、192.168.1.0/24这样的IP,才在全员VPN的情况下暴露出问题。
日积月累,线上系统越来越复杂,IP也不是想改就改了。这个时候,锅就只能企业IT来背了。
让报障员工改家里路由器的配置也不是件容易的事啊!尤其是对网络一窍不通的妹子们。幸好企业IT人员大多有着很强的服(shuai)务(guo)意识和沟(nao)通(hui)能(lu)力,竟然有大神直接让妹子在JD购买小米路由器替换家里的TP-LINK解决问题。
小米路由器的默认IP段是192.168.31.0/24。
秀才遇见兵的时候,简单粗暴有效的解决方案是最好的。为他起立喝彩!
管
面对激增的全员远程办公、远程教学流量,互联网管道层面没出什么纰漏,必须给运营商点赞;但在VPN应用这一块,还是暴露出一些问题。
第一个问题,中国特色的运营商网络结构严重影响了VPN在Client to Site模式下的可用性。
多层NAT是最大的干扰因素。当下,即便本地强势运营商也难保证能给家庭宽带用户分配公网IP,端到云的NAT次数通常两层起跳,会给以IPSec为代表的很多工作在四层以下的VPN协议带来威胁。
不要提什么IPv6,这东西只能让问题复杂化。
非一级运营商普遍还存在一个分流的影响,加上三方出口IP信誉多少存在问题,进一步降低了四层以下VPN协议的可用性和可维护性。这一点,移动、鹏博士和海量区域性小区宽带用户可能会有更深刻的感受。
遇到这种问题,企业IT人员真的爱莫能助。别企业IT了,朋友圈见过好几次安全厂商研发的吐槽,设备卖给某运营商做NAT,用自己客户的宽带却无法顺利IPSec VPN连回公司,令人啼笑皆非。
拐一句,这就是使用通用隧道协议连接到POP点的SD-WAN方案,普遍会对客户的互联网接入提出苛刻前置条件的原因。对中国特色的SD-WAN来说,私有隧道协议还是很有必要的。
在这块神奇的土地上,只有工作在更上层的VPN协议能够更好地生存。
一个特例是SSTP,只能跑在TCP下让它在国内有点水土不服;微软的力推让它有了广泛的潜在客户基础,但被高调又带来很多麻烦。
别忘了,大部分被主流OS内置客户端的VPN协议,在国内互联网上都很难保证良好的使用品质。一般用用可以,长期承载关键业务,不建议使用。
我个人的主观感受,国内互联网上还是商业SSL VPN跑得最稳定。
商业产品普遍承载的是企业关键业务,本身又比较低调,轻易不会被干扰;技术上或多或少还有些私货,比如普遍支持同步UDP隧道,再比如协议层的兼容性保障、加速及快速重连。所有这些综合起来,给远程办公提供了一个相对良好的体验。
管道层面暴露出的第二个问题,是互联互通体验的不尽人意。
这是个上过央视315的老问题,之所以近年来投诉减少,不是因为问题被消灭了,而是因为在云服务商、CDN服务商和CP的共同努力下,大部分流量向有限的数据中心集中,屏蔽了互联互通问题。
在国内运营商普遍把本网率做为建设和运维重要KPI的今天,中国互联网的体系结构,实际上正在变得愈发分裂。而今这突如其来的全量VPN应用,无情地揭开了这块遮羞布。
对于大企业行业来说,总部VPN系统的多线接入基本是常态,互联互通方面的问题并不多。但对于中小企业,尤其是融资压力很大却存在VPN回联刚需的中小互联网企业而言,多线接入的成本往往是难以接受的。
既然VPN服务端连三大运营商的接入都没能覆盖,面对千姿百态的家庭宽带,互联互通问题被触发自然也在情理之中。
我们简单统计了一下,报障最多的是移动家宽用户。这倒合情合理,移动家宽的用户太多了,企业用移动接入的又太少了。在砍掉了大部分三方出口又迟迟得不到电信联通对等互联资费减免的情况下,跨网VPN品质很难保证。
另一个火上浇油的因素是疫情出现在春节期间,传统的一部分员工同城接入VPN的使用模型变成了大部分员工跨省跨运营商接入。
距离远了,就算同一运营商下的VPN接入品质也并不敢打包票,这里有不同省分建设水平的差异因素,也有小墙的因素。
春节期间我一直在用安徽联通家宽VPN拨到北京联通的服务端,在已经用上Fortinet这种公认品质没毛病的商用SSL VPN方案的情况下,偶然也会遭遇突然降速或断流(此时主流应用体验完全正常),且在隧道稳定的情况下,有效带宽仅有5-6Mbps,甚至不及4G热点挂VPN的性能表现。
我也换了SSTP测试,基本上几分钟断一次吧。前者应该在大部分普通员工的容忍度以内,后者肯定要打爆企业IT人员的电话。
然并卵,IT依然爱莫能助。挤兑他们也没用,他们也很无奈。远程办公时代,企业IT运维人员和HR、行政一样,是公司里最苦逼的三类人。
这里我们给中小互联网企业一个建议,不妨考虑为VPN和关键业务引入主流云服务商的BGP接入线路。只要带宽需求不是很小,这笔账就肯定划算。至于品质,我觉得至少阿里云BGP带宽还是相当可以的。
BGP线路用于VPN接入还有个特别突出的优势,就是线路调度的问题对企业IT被透明封装了。也就是说,背后线路出现问题时员工的VPN状态是不会断的,因为在VPN网关看来源IP和目的IP都没发生改变。语音和视频会议同理。
云
VPN服务端在这次突如其来的远程办公需求面前没有暴露太大问题。
一个小问题存在于配置方面。部分中小企业IT人员对VPN部署缺乏经验,系统上线时没有修改默认路由配置,导致客户端的流量被全部送回公司。正常小并发的情况下,建立起来的VPN能通,可能也不会引发什么问题,但在全量VPN的情况下,企业的接入带宽和设备的性能出现被打满的情况。
至于吵得比较凶的授权不够的事,我认为不是问题。长久以来VPN硬件的商业模式就是这样,你可以说它不合理、不符合互联网潮流,但不能说是问题。
企业IT部门的选型工作也是没毛病的,谁都不会为黑天鹅事件考虑全量VPN部署。
当然,如果更多的企业IT人员能更早关注格物资讯,也许能规避这个问题。
我们深知VPN对于有研发业务的互联网企业是刚需,所以在几年前发布并定期迭代的中小互联网企业基础网络标准化模型建议中,长期推荐没有安全需求的企业考虑锐捷的EG网关,有安全需求的企业考虑Fortinet的FortiGate防火墙。
做出推荐的原因之一,就是这两款产品是我们能筛选出的为数不多的支持SSL VPN、支持全平台客户端(WIN、iOS、OS X、Android)且不按VPN功能和隧道数授权进行销售的设备,可谓便宜量又足。
有些厂商曾说,没有授权的限制,客户体验难以得到保障。我觉得这有点浮夸了,客户又不是傻子,用到瓶颈了、影响业务了,自己不会换嘛?
平心而论,VPN按隧道数卖授权确实有点不合理。买UTM授权好歹能得到各种库的更新,获取对新威胁的防御能力,钱花得有意义;买应用特征库升级授权能及时辨识更多新应用,具备可视化和控制能力,钱花得也有意义;买VPN并发授权得到什么了?硬件?软件?还是服务?
如果你做为互联网一代,真得很反感这种逆势而为的商业模式的话,不妨考虑部署VM版的VPN网关。这样一来彻底不会为用不着的资源花钱,二来不管面对企业成长还是黑天鹅事件,弹性扩容都简单得多。
虚拟化环境下的性能也不必担心,对于基础网络业务而言,计算资源早就过剩得厉害,并且随着虚拟化技术的不断发展,性能的天花板会被一次次提升。就以VPN为例,也就是这两年,主流安全产品就把加解密卸载到CPU的加速指令集或GPU了。性能瓶颈,那是什么?
至于服务器虚拟化资源,中小互联网企业是不缺的。
既然都说到虚拟化了,那就再延展一下,把VPN网关的虚拟化版本跑在公有云行么?
当然可以,但前提是业务上云。只有业务上云了,VPN上云才有价值。
而业务上云,对传统行业客户而言可能还需要一个过程,但对多数中小互联网企业来说,简直就是必然啊。
多年前我们拜访过一个几百人的互联网企业,看到它们的生产环境、研发环境都放在公有云、总部机房只有三个机柜(办公网占了两个),感觉很新潮。当时基础网络和安全的虚拟化离用户还有点远,他们只能先把堡垒机部署在公有云,也算迈出IT虚拟化的第一步。
今天,云计算的技术和生态日臻完善。生产环境和研发环境都放在公有云,对很多中小互联网企业来说已是常态,是业务需求和经济性的最佳平衡。
这个时候,VPN不上云都不合理。而一旦上云,你会发现前面我们讨论的大部分问题都不存在了。从这个角度,IT人员没有不支持虚拟化部署的,他们的工作压力能得到有效缓解。
年前刚见证了一个VPN建设项目,一个千把人的互联网企业,员工分散在海内外,大概一半一半。国内是传统的总部分支模式;海外没有独立办公室,所有员工都分散在不同国家、不同城市的WeWork办公。
业务方面,国内生产环境全放在A云,研发环境部分本地部分A云;海外生产环境和研发环境均在B云。随着企业规模和全球业务的不断扩大,现在需要部署商业VPN系统来保证全面的连通性、私密性和安全性。
公司的IT运维人员在选型时遭遇了冰火两重天般的体验。
国内部分,要先协调几个目标品牌的测试机,搭建实验室环境进行功能和系统对接验证;验证通过后再旁路到办公网,做小范围带业务测试;这些都没有问题了,再进行商务谈判;商务流程走完,正式设备发到现场,再安排总部和分支的割接。最后一个环节由于涉及出差,IT人员的工作无法并行,再加上割接需要避让业务节点,项目周期难以预测。
唯一可以肯定的是,这一大套流程走下来,时间周期将是以月为单位计算的。
国外部分则是另一番景象。流程虽然都一样,部署的时间周期却缩短到小时级别。实际上,他们在B云上的几套测试环境只用了十来分钟就搭建完毕,到正式部署完开放给所有员工接入也仅仅花了3天时间,使用效果如丝般润滑。反观国内办公网的部署,到现在还在走流程呢。
这看似是硬件设备和虚拟化交付的区别,实则是传统和互联网的区别。
一定要牢记,以VPN为代表的一切基础网络业务都是上个时代的产物,它们恪守兼容性至上的准则,发展到今天已不堪重负,只能通过打补丁的方式延续生命。与之对应的,大企业行业在成长过程中一样背上了无数的包袱,所以需要这些补丁技术去实现兼容拓展。
中小互联网企业则不同,石头里蹦出来的孙猴子,本身干得就是颠覆性的业务;IT支撑也没有包袱,完全可以一步到位,不必再循规蹈矩地追求仪式感。选择时代的捷径,不但大量节省成本,更能提升工作效率。顺势而为是最重要的IT建设纲领,当你的IT随着业务一起直接上云了,就是已经跳过很多坑的业界先进了,离什么零信任、SASE之类的模型也很近了。
体量大的互联网企业本不在今天的讨论范围内,但放眼未来,还是有必要说两句。
大互联网企业是真正具备颠覆性自我改造能力和动机的角色,他们大多按自己擅长的套路,把包括VPN在内的原本属于传统产业层面的问题都放到应用层解决,彻底架空了基础架构。
阿里巴巴的阿里郎就是最好的例子,一个APP整合了企业统一通信(语音会议、视频会议)和安全(VPN、认证、终端管理)的必要能力,把原本垂直且复杂的IT应用变得极其简单;基础网络只要踏踏实实做好管道就行,不存在任何自由发挥的机会,可谓生不如死。
感兴趣的话可以了解下阿里郎的输出版本玄武令,评估时的最大感受就是这类产品有朝一日普及了,国内企业IT就能换个活法了。
听说这几年玄武令的市场拓展存在一定阻力,疫情这一课上下来,说不定是个增长机会。或者直接放个大招,把VPN模块扔到钉钉里去,粘性和跨维竞争的优势就会相当明显了。
不是IT+互联网,而是互联网+IT,这就是所谓的大势。现今中国崛起的一个套路就是在并不领先的情况下,靠互联网给传统行业赋能实现弯道超车,传统IT没必要为提前完成历史使命感到遗憾。
不管是你谁,能拥抱互联网,就拥抱互联网吧。
感谢各路友人提供素材;
部分图片取自互联网,侵删;
如果您这段时间使用VPN遇到了我们没提到的问题,欢迎留言返回搜狐,查看更多
责任编辑:
0 留言