Optimización VPN

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
catriay
Mensajes: 5
Registrado: 03 Ene 2014, 17:06

Optimización VPN

Mensaje por catriay »

Buen día, el problema se presenta cuando las sucursales remotas hacen una consulta hacia la base de datos, la consulta de forma local tarda 10 segundos, en la sucursales esa misma consulta tarda hasta mas de 4 minutos, se a verificado que el ancho de banda no este saturado pero de 10 megas solo se esta utilizando 2 o hasta 3 megas. Hay forma de optimizar las vpn?
Saludos.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Optimización VPN

Mensaje por Garsa »

Saludos catriay,

Como tienes configuradas tus VPNs basadas en iterface o en politicas?

Algo que puedes hacer es identificar el trafico a esas bases de datos remotas y dependiendo de que características UTM tengas habilitadas. Así, crear controles de trafico que le den prioridad a esas aplicaciones de tus DB. Tambien, y mas simple, es crear una politica independiente para el trafico a esas bases de datos y darle prioridad asi, pero debes asegurarte que los controladores esten bien configurados.

Espero te ayude,

Saludos,

Garsa
catriay
Mensajes: 5
Registrado: 03 Ene 2014, 17:06

Re: Optimización VPN

Mensaje por catriay »

Muchas gracias por tu respuesta Garsa, solo tres cuestiones que espero me ayudes como realizarlo,
1- Pues las vpn están basadas en interfaces que creo y por políticas para indicar a que segmentos de red llegar
2- identificamos el trafico con el sniffer?
3- Cuando mencionas los controladores, a que te refieres?

Saludos.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Optimización VPN

Mensaje por Garsa »

HQ. 10.10.10.0/24
Branch1 10.11.11.0/24

1. Listo, si son interfaces digamos que tienes HQ a Branch1, y viceversa Branch1 a HQ.
Si tu politica hoy dice por ejemplo:
HQ a Branch -> Permite 10.10.10.0/24 a 10.11.11.0/24 todos los servicios.

Cuando identifiques el trafico sea por protocolo o a un servidor en especifico, puedes crear politicas independientes para ello y añadir controladores de trafico o traffic shappers para darle prioridad.

por ejemplo:

HQ a branch -> Permite 10.10.10.0/24 a 10.11.11.12/32 (Servidor BD) todos los servicios, shaper de alta prioridad
HQ a Branch -> Permite 10.10.10.0/24 a 10.11.11.0/24 todos los servicios, shaper de prioridad baja

2. El trafico lo puedes identificar digamos "todo el traffic al servidor de datos" o "todo el trafico al servidor web", o por protocolos.. Todo el traffico en puerto 445 (cifs) o 22 (SFTP). Habilitar appcontrol te ayudaria mucho, o lo puedes identificar en los logs (si lo tienes habilitado en la politica) o con el sniffer... pero estos ultimos pueden ser metodos muy manuales. Appcontrol lo hace mas facil, y alli mismo puedes hacer lo de los shappers tambien.

3. Controladores, son Shappers (no se como se dice en ESP hahah, pense que controladores era la palabra)
Basicamente el Forti te deja crear traffic shapers donde puedes asignar prioridad Alta Media y Baja, ademas restringir cuanto traffico puede consumir una politica. Si tu VPN viaja por un circuito de 10M, puedes configurar tu shaper para que digamos backup traffic en 445 (cifs) nunca consuma mas de 5MB, asi que si alguien hace una copia grande no se consuma todo el circuito.

Espero te ayude,

Saludos,

Garsa
Responder