FortiGateGuías técnicas

Usuarios VPN recomendados

Cuando tenemos que calcular el número de usuarios SSLVPN soportados en un equipo Fortigate, debemos tener en cuenta 2 valores críticos, el número de usuarios VPN (IPSEC o SSL) recomendados y el throughput VPN IPSEC o SSL soportado por el modelo, estas 2 variables son críticas para estimar la capacidad en cada uno de los equipos. Es decir, utilizaremos el valor más limitante: si tenemos un número de usuarios que el equipo es capaz de soportar, pero el caudal de tráfico de dichos usuarios supera las capacidades de la máquina, se deberá utilizar un modelo de FortiGate que sea capaz de gestionar el tráfico y el número de usuarios que se requieren.

Los valores de caudal y usuarios VPN SSL o IPSEC varían según el modelo y la familia del equipo, aumentando de forma considerable en modelos de gama media y alta. Se pueden consultar en la Product Matrix de Fortigate, o más específicamente en el datasheet de cada uno de los equipos. Enlace al Product Matrix: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf

Sin embargo estos valores se deben utilizar con prudencia, y siempre son una estimación de las capacidades de los equipos, ya que debemos tener en cuenta:

  1. Estos valores están obtenidos en pruebas de rendimiento ejecutadas únicamente para este servicio y en modo L4, si el equipo tiene habilitados otras características  habría que revisar este equipo y ver como puede afectar estos servicios al activarlos.
      • Debemos tenerlo en cuenta sobretodo en aquellos equipos que tenga un consumo alto de CPU y memoria o que estén próximos a entrar en modo conservativo, ya que habilitar estas funcionalidades pueden afectar a su disponibilidad.
  2. Siempre es prudente habilitar el servicio en L4, e ir incrementando poco a poco los niveles de seguridad.
      • Debemos asegurar la disponibilidad sin olvidar la seguridad, por lo que una vez activado el servicio y verificado que no afecta al rendimiento de los equipos, debemos ir añadiendo todos los mecanismos de seguridad necesarios “perfiles de seguridad”, que nos permitan añadir la capa de seguridad adecuada a estas conexiones remotas.

Una alternativa al uso de usuarios SSL VPN es utilizar las conexiones en modo IPsec “Client-to-Gateway”, este tipo de conexiones suelen tener unos rendimientos muy altos debido a que en un primer momento muchos equipos Fortigate pueden descargar este tipo de tráfico al FortiASIC NP, mejorando de forma considerable el rendimiento.

Sin embargo será necesario verificar si es posible utilizar IPSEC, ya que en algunos caos algunas redes están limitadas, por ejemplo WIFI de invitados u operadores que filtran los puertos necesarios para que funcione el protocolo IKE y/o los de IPSEC.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *