Мы перемещаем небольшой удаленный офис в новое место, что означает новое подключение к Интернету и новый маршрутизатор. Я заметил, что в настоящее время они настроены на использование удаленного шлюза через VPN, поэтому весь их интернет-трафик проходит через соединение в центральном офисе, которое мне кажется медленным и неэффективным.
Я подумываю настроить их на использование их локального шлюза для трафика, отличного от VPN. Есть ли причина, по которой мне не следует этого делать? Мне кажется, это лучший способ сделать это. К сожалению, парня, который это устроил, давно уже нет, и я не уверен, какое у вас есть оправдание для этого.
Обычно это делается по двум причинам.
Как упомянул Роберт Каучер, одной важной причиной является фильтрация контента, ведение журнала и принудительное применение на «узловом сайте». Многие продукты для фильтрации содержимого позволяют развертывать «подчиненные» серверы на удаленных сайтах для выполнения фильтрации и ведения журналов на основе центрального «сервера политик». Однако для удаленного сайта, где нет серверного компьютера, организация может просто направить весь этот трафик обратно на центральный сервер фильтрации.
Централизованные правила брандмауэра и мониторинг - еще одна распространенная причина, по которой я видел это (в частности, для VPN типа «пользователь-сайт», но я видел это и в отношении «сайт-сеть»). «Раздельное туннелирование» (то есть, когда удаленная конечная точка VPN может напрямую связываться с Интернетом и отправлять только трафик в корпоративную сеть по VPN-каналу), некоторые считают серьезной угрозой безопасности. В среде типа "сеть-сеть" вы могли бы потребовать настройки брандмауэра в удаленном офисе для обеспечения безопасного прямого доступа в Интернет, но я встречал ситуации, когда это считалось "лучше" (я полагаю, потому что брандмауэр правила на удаленном сайте в основном сводились к «разрешению только VPN-трафика») для маршрутизации всего этого интернет-трафика на «узловой» сайт.
Вы должны увидеть улучшение использования полосы пропускания на «узловом» сайте и повышение скорости отклика на удаленном сайте при переходе к разделенному туннелю. Пока у вас есть надежные правила брандмауэра на удаленном сайте (и любая инфраструктура мониторинга, фильтр контента и т. Д., Которые вы хотите), не должно быть никаких причин не разрешать ему иметь прямой доступ в Интернет и экономить пропускную способность в " хаб »сайт.
Единственная реальная причина, по которой вы можете захотеть это сделать, - это фильтрация содержимого - по крайней мере, насколько мне известно. Вам будет проще управлять этим, поскольку нужно беспокоиться только об одном фильтре содержимого.
Это, вероятно, маловероятно, но как исключить:
Как упоминал Эван, я подозреваю, что настоящая причина кроется в правилах брандмауэра, возможно, потому, что у старого оборудования не было хорошего брандмауэра с отслеживанием состояния. Если предположить, что он есть сейчас, я не вижу никаких общих причин, чтобы не отправлять их интернет-трафик напрямую. Так всегда работали удаленные сайты моего рабочего места.