鉴于对远程工作的需求激增,我们想解释一下我们很多人都在使用,但很少有金融界人士了解的一项技术。 如果你在家工作并连接到办公室,你可能会使用 VPN。 VPN 是虚拟专用网络(Virtual Private Network)的缩写,是一种与互联网本身一样古老的技术。
在家工作时,你可能会遇到应用程序运行缓慢或根本无法运行的情况。 这至少可以说是令人沮丧的。正如我们在其他地方所说的那样、稍稍了解一点技术,就能提高您与 IT 部门讨论问题的能力,并最终提高性能和降低风险的能力。 这就是我们写这篇文章的目的。
要了解 VPN 的工作原理,首先要对网络有基本的了解。 当你在公司办公时,很可能会连接到公司的局域网(LAN)。
局域网只是一个网络的名称,它不能直接从互联网访问,而是将数量有限的计算机和其他资源连接在一起,这些计算机和资源相互之间的物理距离很近(例如您的办公地点)。 每个组织都至少有一个自己的局域网,其计算机与之相连。 每个局域网都连接到互联网,而互联网本身就是一种网络(WAN - 广域网)。
一般来说,一个局域网不能与另一个局域网通话,即使两个局域网都可以(通常)连接到互联网。 这是有意为之,目的是隔离流量,帮助保护资源。 因此,当你在家里(家里的网络也被认为是一个局域网)需要访问办公室网络的资源时,如远程桌面服务器、网络驱动器等,你需要先连接到办公室局域网的工具。 这就是 VPN 的用武之地。
假设您的 IT 部门允许远程连接,IT 部门通常会
这项工作完成后,客户端软件就可以连接到办公室的服务器软件,并创建一个虚拟加密隧道。 以前无法在两个局域网之间传输的所有前往办公室的流量,现在都可以通过这个虚拟隧道网络进行传输。
重要的是要明白,流量是从局域网通过公共互联网流向办公室局域网,然后再返回。 这就是为什么 VPN 的缩写中必须有 P 的原因--所有数据都经过加密,因此互联网上没有人可以拦截和解码流量。 下图显示了典型 VPN 的基本配置:
#@#3317921#@#
最后,这个 VPN 是临时的。 一旦断开连接,隧道就会关闭,两个局域网就会重新解耦。
虽然从实际角度看,通过 VPN 进行远程工作与在本地办公室工作非常相似,但要最大限度地提高效率,减少性能和安全方面的挫折感,就必须了解一些主要区别。
我们知道,许多人在阅读这篇文章时只需要粗略了解情况。 但是,要真正参与与 IT 部门的讨论,您需要了解更多。 对于那些只需要了解高层次信息的人,我们首先会提供这些信息。 对于有耐心和兴趣的读者,我们将提供更多细节。
如果你通过 VPN 在家里工作,并遇到性能不佳的问题,有 5 个主要项目需要考虑:
决定网络性能的有五大属性(简化):
none
您的家庭办公室使用的连接速度可能要慢 10 到 50 倍。 典型的 DSL 或电缆速度从农村地区的 5 Mbps 到城市的 500 Mbps 不等。 此外,考虑到大多数住宅互联网计划都是不对称的。 这意味着下载(如观看 Netflix 电影或浏览互联网)的吞吐量有时是上传(如发送电子邮件)吞吐量的十倍。 因此,即使您的连接支持 50Mbps 的下载,也可能只支持 5Mbps 的上传。 这可能会严重影响 VPN 性能,因为您需要同时向企业局域网下载和上传数据。
延迟是一个比较模糊的属性,但在某些方面比吞吐量更重要。 计算机使用大量晶体管以极快的速度(通常每秒 10-4 亿次)开关电磁波。 计算机用于通信的二进制位或比特就是通过这些电磁波传输的。
大家可能还记得高中物理知识,光(属于电磁波)在真空中的最大传播速度约为 300 000 千米/秒。 网线、光纤和其他设备中的电磁波的传播速度通常是光速的 66%,即每秒 200 000 公里。 了解这一点非常重要,因为它可以让我们确定一个数据包从电脑发送到服务器并得到响应所需的时间,也称为往返时间(RTT)。 在局域网中,计算机与服务器之间的物理距离可能不到 100 米。 计算一下就知道了:
#@#\begin{align*} RTT &= \frac{100}{200000000}*2 \ &= 1\mu s \end{align*}#@#
因此,计算机和服务器每交换一个数据包,该数据包的往返时间至少需要 1µs 。 考虑到大多数通信都需要大量的小数据包(由于 TCP/IP 的设计),这个时间很快就会累积起来。 简化一下,传输一份 2MB 的文件大约需要 1400 个数据包。 如果忽略吞吐量,延迟将额外增加 1.4 毫秒。 这听起来并不多,因此在局域网上本地工作通常会产生很好的性能。
但是,如果你在家工作,情况就会发生很大变化。 你的办公室现在可能在 200 公里之外(不是物理距离,而是你的数据包通过 VPN 在互联网上传输的路线)。 考虑复制相同的文件:
#@#\begin{align*} RTT &= \frac{200000}{200000000}*2 \ &= 2000 \mu s \ &= 2 ms \end{align*}#@#
现在,每个数据包在你的电脑和服务器之间的传输时间是 2 毫秒,慢了 2000 倍。 因此,在传输实际内容的时间之外,2MB 文件现在又多了 2.8 秒的延迟时间。 这当然是可以观察到的,而且在某些应用中可能会产生很大的问题。
当大多数员工被送回家时,就像我们目前遇到的 COVID-19 一样,大量人员同时通过 VPN 进行连接。 公司网络可能无法针对如此大的流量进行优化,从而导致所有人的体验下降。 此外,你的伴侣或家人可能会在家里看 Netflix,而你却在尝试做一些远程工作,从而降低了吞吐量,并可能影响你的体验。 大多数家庭网络都没有启用流量整形功能,而许多企业办公室都实施了这种功能,允许某些流量具有更高的优先级,而不会受到其他人下载文件或观看电影的影响。
造成拥堵的另一个原因是 WiFi。 由于 WiFi 提供的便利,大多数人都使用 WiFi 将家用电脑连接到互联网。 由于 WiFi 的设计方式,当客户端电脑试图通过 WiFi 向互联网发送数据时,WiFi 接入点在该时间点只能与该客户端通话。 任何其他客户端都需要等待,直到 WiFi 接入点完成数据传输。 这种情况发生在较低的级别,所以并不总是很明显。一些现代的 WiFi 接入点支持一种叫做 MU-MIMO 的功能,它允许接入点同时与多个设备通话。 当不止一个人试图上网,而信号又不是很强时,这就成了一个问题。 其效果是放大拥塞。
当涉及到流量路由时,VPN 有两种配置方式(通常由 IT 部门配置)。 当你通过 VPN 连接时,你的 VPN 可以:
通过 VPN 只路由用于办公室网络的流量,所有其他流量都通过 ISP 的调制解调器(理想配置),或
可以这样配置:一旦连接了 VPN,所有流量都会通过 VPN 隧道传输。 这意味着,如果你正在观看 Youtube 视频或 Netflix,所有流量都将通过速度慢得多的 VPN 通道。 这样做的最终结果是,终端用户体验极差,并可能产生隐私问题,因为组织可以看到你的个人流量模式。
因此,强烈建议你的 IT 部门对你的 VPN 进行配置,使其只通过 VPN 为办公室传输流量,而通过你自己的调制解调器传输所有其他流量。 这将减少公司网络的负荷,改善你的隐私和一般远程工作体验。
设计应用程序时要考虑某些假设。 许多应用程序都假定应用程序是在局域网内使用的。 你是否使用过 Office 365,并从在线门户在本地 Word 应用程序中打开 Word 文档? 打开文档的时间要长好几倍,因为它必须先下载文档。 其他一些应用程序也会遇到同样的问题。 例如,CaseWare 假定自己与 CaseWare 文件之间有快速的局域网连接。 如果您在本地家用电脑上使用 CaseWare,并试图通过 VPN 访问办公室网络上的 CaseWare 文件,延迟将对性能产生巨大影响。 一般来说,最好通过 VPN 远程桌面访问 CaseWare 应用程序。 这样,CaseWare 应用程序就会在远程桌面服务器上运行,并与本地网络共享。 我们在这里更深入.
当用户通过 VPN 进行远程工作时,会有一些额外的复杂情况。 通常,在传统的企业环境中,IT 部门可以完全控制所有访问网络资源的设备,并对其进行充分保护。 然而,当用户通过 VPN 连接到服务器时,用户的家用电脑就直接连接到了企业网络,就好像用户把自己的个人电脑直接放在了办公室的局域网上一样(这是一种过于简化的说法)。 这就意味着,如果用户的个人电脑感染了恶意软件或被入侵,攻击者/恶意软件现在也可以访问公司网络。
因此,用户必须
为家用 PC 打补丁、安装防病毒软件,并将其当作公司 PC 来处理。 每个活动的 VPN 连接都会扩展企业局域网,因此会增加暴露的风险。 考虑到这一事实,建议不要让 VPN 一直处于连接状态,除非你的家庭网络是安全的。 或
将工作笔记本电脑带回家,用它连接公司局域网,前提是 IT 部门支持这一决定。
如果你有有关远程性能的其他问题none