越来越多的人在家工作。 现在,企业需要一种方法来了解远程员工在其网络性能和安全状况中所起的作用。 幸运的是,有了网络流量元数据,企业可以轻松监控 VPN 流量,无论是通过分离隧道还是无分离隧道。
具体来说,当企业从其 VPN 和互联网防火墙中收集这些信息时,就能获得大量信息。 从简单的网络连接详细信息到高级分析信息,如 TLS 证书和 GeoIP 信息,不一而足。
蓝灯加速器专业版
您的远程用户可能通过一个虚拟专用网络.
VPN 是使用不同加密类型的专用网络的扩展。 这样,远程用户就可以安全地登录到专用网络,并保留访问本地连接上使用的所有资源的权限。 但用户连接后,你如何知道他们在做什么? 他们是否使用了过多的带宽? 他们是否在连接与工作无关的网站?
蓝灯加速器专业版
为了展示如何获得这些详细信息,我建立了一个实验室环境,用户通过思科 ASA 连接到 VPN。 当我在 Scrutinizer 中选择该 ASA 时,我可以看到通过 VPN 连接到网络的用户。 该报告显示了流量最大的用户。

从这份报告中,有几件事需要考虑。 如果你的用户是以无拆分方式连接到你的 VPN,这意味着他们的所有流量都通过 VPN 连接,而不仅仅是本地流量,那么你需要做的就是选择用户名并选择默认报告。 这将显示与该用户相关的所有流量。 这是监控 VPN 流量的最佳方法。 所有流量都通过 VPN 传输。
但如果流量被分割,除了通过 VPN 连接请求的内部资源外,你将看不到任何其他流量。 根据远程员工的安全要求和访问权限,你需要考虑用户使用的 VPN 连接类型。 在节省带宽的同时,你将有效地失去可视性。 例如,Netflix 等连接不会通过 VPN,但你也不会知道 Netflix 的情况。
蓝灯加速器专业版

在上述图像中,有几个地方需要注意。 首先,我们的 VPN NAT 地址在 10.2.1.0 范围内。 这意味着我的用户的 IP 地址是 10.2.1.73。 如果我选择该 IP 地址,我就可以离开 ASA,搜索我们的全球分布式网络可以访问的任何数量的出口商。 这意味着我可以看到 Gigamon 设备的 TLS 解密或 Ixia 的 GeoIP 详情等信息。 虽然这些信息并不是监控 VPN 流量所能获得的,但却非常有用,尤其是当越来越多的员工开始在实体办公室之外工作时。
当然,我不可能重现所有企业可能为其 VPN 设置的各种实验室环境。 为此,如果贵组织的远程员工队伍不断壮大,并且需要更好的 VPN 可见性,请使用以下工具、我们的工程师将向您展示进行设置。