卓豪丨监控VPN—通往网络的安全网关

相信所有网络管理人员都在面对着数字化转型，虽然面对转型大部分公司选择了SaaS，但虚拟专用网络(VPN)在远程工作方面也受到了更多的关注。许多中小型企业根据对业务需求、使用习惯以及成本等方面的考量，依旧采用通过VPN进行远程操作。那么我们今天来聊一聊针对VPN的监控。

什么是VPN?

VPN使专用网络能够与公共和共享网络的计算资源进行通信。VPN连接由数据加密保护，其中数据通过称为VPN Tunnel的屏蔽路径在设备和网络之间流动，这可确保业务关键型客户数据保留在网络中。

为什么要监控VPN?

虽然VPN增加了企业通信的方便，但是相关应用程序、原有操作系统或家庭网络中的任何安全漏洞都可能对您的VPN构成威胁。我们可以通过监控连接和路径来确认VPN是安全的，从而密切关注关键的安全指标，这也确保了入侵者无法访问传输的敏感数据。为了确认VPN是否以最佳状态运行，网络管理员还可以跟踪通过Tunnel传输的数据量、传输速率和其他性能指标。

如何进行VPN监控?

要监控VPN可用性，请执行基本的互联网控制消息协议(ICMP)ping检查。要分析VPN运行状况和VPN性能，需要支持VPN设备的监控工具。企业在选择监视工具时，优选将支持SNMP并提供完整的监控。VPN Tunnel可能会由于多种原因而抖动或失去连接，包括线路状况或硬件问题。如果Tunnel空闲超过基于安全协议的指定时间，Tunnel也可能关闭。但是当VPN Tunnel抖动和SNMP trap是监控VPN Tunnel抖动的最佳解决方案时，了解情况将变得至关重要。设备在处理并向用户发送告警时，会向监控工具发送即时陷阱消息。

Site24x7是如何监控VPN的?

ICMP ping检查

网络管理员只需添加设备并检查VPN是否可用即可进行基本的ping检查。

开箱即用的模板

默认情况下，Site24x7支持来自不同供应商的VPN设备，如Palo Alto Networks、Cisco、ZyXEL、Barracuda、TopSec、Netscreen Technologies、Checkpoint、Fortigate、Juniper和华为。只需在添加设备时开始监控所有关键指标即可。

自定义SNMP监控

除了上面提到的供应商之外，Site24x7还使网络管理员能够从任何支持SNMP的供应商添加防火墙和其他VPN设备。这样可以通过指定对象标识符(OID)来使用自定义性能计数器监视任何属性。Site24x7在云和客户端中设置了一个内置的管理信息库(MIB)浏览器，可以直接导入OID以及表格OID。这也方便于网络管理人员可以一次性监控所有所需的OID。

用于即时告警的SNMPTrap处理

SNMP设备可以配置将Trap发送到Site24x7，同时这也是监控VPN Tunnel抖动的最佳方式。配置完成后，设备将Trap发送到Site24x7，之后会立即处理并向网络管理员发送消息，以便他们可以采取即时纠正措施。

自定义报表

每天生成有关VPN使用情况的自定义报表，并分析VPN使用趋势。

今天与大家一起了解了针对VPN监控的重要性，同时通过上述整体步骤的描述知道了Site24X7是如何完成VPN监控的。在Site24X7的帮助下，网络管理人员可以根据自己的需求对VPN进行完整的监控，同时可以针对出现的问题进行即时告警，让相关人员快速做出反应。

审核编辑黄宇