云南**学院拉了73条“云网线”,来看我们Easy VPN的非主流应用。
项目背景
项目较特别,属于响应当地“明厨亮灶”工程*,在原有大规模校园监控基础之上的增建项目,因不便布线和其他原因,工程方和院方协商,采用了VPN回传方案,也是不得已而为之。*明厨亮灶要求,学院食堂后厨区域需要做到公开透明,同时,数据要有途径让市场监督管理局获取到VPN?传监控?思路不难理解:机房看作总公司,每个食堂监控点看作是分公司。这么一来不就实现回传了嘛。设备和规模方面。学院东西区各一个双层食堂,400万像素摄像头合计124个;机房出口一台EG310G-E网关,上联一条500M专线宽带,下联4台NVR;食堂每个弱电箱接入一条100M普通宽带,放EG105G V2网关,下联1-2个摄像头,合计73条宽带73台EG105G V2。
拓扑规划示意
100多个摄像头,机柜上只有个10口网关,看不到交换机,是不是还挺迷惑的?
机房机柜
食堂弱电箱
和事后调查,让不法之事无法遁形相比,监控的核心作用是提供一种“威慑力”,让不诡之人不敢行不法之事。食品安全很重要,我支持明厨亮灶,支持后厨公开透明。
食堂后厨
E 问题1:一条500Mbps VPN和一条500Mbps宽带有瓶颈,监控画面出现黑屏和明显卡顿124个400万像素摄像头实时回传,不考虑突发流量,按照每个头6-8Mbps码流计算,至少也要有992Mbps的VPN总带宽和出口带宽。而EG310G-E可提供的Easy VPN带宽为500Mbps,出口一条500Mbps宽带,全部存在瓶颈,不卡才怪。通过监测,EG105G V2下挂1个头的流量在6-8Mbps,2个头的到了12Mbps以上,平均单个头预估6-8Mbps,124个头总流量确实要奔着1000Mbps去了。但实际上,这个流量有蹊跷,不会到这么多,我们马上会讲到。 E 问题2:Easy VPN只跑到300Mbps?其次,我们发现,本能跑到500Mbps的Easy VPN通道只有300Mbps上下,而且非常平稳,这就奇怪了。一样有待处理。最后一个问题也有意思——Easy VPN通道上出现了一位“不速之客”。就是下图中的电视,2个双层食堂每层用餐区架2台,合计8台,每台显示4画面,用来向就餐师生和职工公示。这位不速之客超出了预设:食堂的分机EG105G V2只负责将1-2个监控数据上传云端,机房的总机EG310G-E只负责将监控数据从云端接下来吐给NVR。如下图,注意所有绿色标记,TV 1若要显示摄像头1、2、3、4四画面,除去摄像头3可以本地显示不占用VPN带宽以外,剩下3条绿色的数据流就是额外多出的流量,我们检查这波流量合计高达100+Mbps,它们就像小偷,给原本局促的VPN通道雪上加了个霜。所以这里也有空间。
这条聊天记录信息量大啊,有懂的吗
问题处理
加一条宽带和一台EG310G-E,再起一个VPN隧道来分流,分担压力——不考虑突发流量的话,升级扩容到千兆或千兆以上出口+千兆VPN确实最稳妥。然而一旦考虑突发和冗余,992Mbps+突发流量+额外流量,千兆可能也顶不住。所以除了升级,我们还有必要对这条VPN流量做优化。我们重新审视一下这3个问题。细看,问题1、2、3有递进关系,问题2、3的解决将有助于减轻问题1的压力。宣传500Mbps只跑到300Mbps这正常吗?不正常,不正常的事找谁?研发出面,完美解决。拿掉电视?不行,明厨亮灶有要求。既然取消不了,就弱化它。原来显示4画面,现在跟院方沟通只显示1个重点区域本地画面(电视和摄像头同在一台EG105G V2下),例如图中TV 1只显示摄像头3画面,便不会产生额外数据流。
好操作吗?下联2个头的怎么办?很简单,这就要说到我们Easy VPN另一个方便之处了——分支互访开关。关掉它,即可强制本地显示。经过上述处理,时延、丢包都有了显著改善,几块黑屏已经全部亮起,只不过仍然存在少量画面卡顿的情况。 E 优化动作3:没办法的办法,给3台EG105G V2单拉线“不扩出口不扩VPN,还能怎么办?”、“能不能通过多WAN口给VPN主机EG310G-E增加带宽的方式解决卡顿?”虽然没直说,也能感受到他们“不加成本、少加成本解决”的愿望。可眼下也找不到其他手段了,降低每个摄像头码率试试?另外有手段的朋友,欢迎留言分享。没办法的话只能单拉线减流量了。先一个个试:下1台EG105G V2,不行;下2台,好很多;下3台,偶发性的瞬卡,能快速恢复,可以接受了。然后,给这3台EG105G V2单独拉线。
红了的3个分支EG105G V2拉线回机房
这波试下来,500Mbps的VPN带宽至少是可以维持了,但500Mbps的出口还是瓶颈,工程方表示会跟院方沟通,再牵一条普通千兆宽带进来给EG310G-E做叠加。
Easy VPN方案扩展灵活
不必担心因判断偏差导致的性能瓶颈
前期判断很重要。但我们理解工程方的操作,这波,有为客户考虑的成分——多拉宽带是成本,多加设备也是成本。所以不能单方面的认为是判断失误。况且,Easy VPN方案升级扩展并不麻烦,综合来说比布线方案更方便——出口带宽不够了就再拉宽带,VPN带宽不够了就根据缺口增加适合的VPN主机(EG或NBR)做分流,全程无需考虑线路问题。灵活扩展,要多少后续加多少,总比一口气冗余太多合理吧。
考虑到一些大侠会在没有读完全文就开炮的情况,我多啰嗦两句。
我们开放Easy VPN服务虽说是帮大家省钱省心,但VPN应用的核心价值在于无视距离的异地组网,异地安全互联。
此学院应用属于合理调度自身资源(运营商项目),不便拉线以及白嫖Easy VPN的特例,非提倡用法。思路分享,仅供参考。