Max usuarios VPN en un FortiGate - ¿consejos de FortiGurus?

Me han asignado la tarea de desarrollar una solución para un cliente, y me gustaría usar Fortinet.

Nuestro modelo de entrega de servicios está diseñado para bancos y cooperativas de crédito: usamos DIA y SD-WAN para enrutar el tráfico de las sucursales a nuestros centros de datos y dentro de estos centros les proporcionamos acceso a servicios bancarios centrales. El circuito hacia nuestros centros de datos tiene un agregado de 1G y la SD-WAN usa una solución legada Viptela que está limitada por hardware a unos 240 M agregados. Después de enrutar entre sucursales y a/desde servicios bancarios centrales, proporcionamos acceso a Internet directamente desde los centros de datos, siendo el punto de estrangulamiento el ingreso — un SD-WAN compartido de 1 G y/o 240 M.

Siendo bancos, su AUP es bastante rígido y el ancho de banda es adecuado para ellos. Como resultado, creo que el 100F en HA funcionará para el centro de datos principal, con un 90G en el centro de datos de respaldo (los centros de datos fallan completamente mediante BGP).

Me siento cómodo con esa selección de hardware, con una preocupación: los usuarios de VPN de acceso remoto. El banco para el cual estamos desarrollando una solución tiene 482 usuarios VPN, y el año pasado, 430 de ellos iniciaron sesión en algún momento. El 100F tiene una capacidad máxima de 500 usuarios.

Nunca he trabajado con un 'Gate que esté tan exigido en esta forma, y no sé qué esperar: ¿cuál sería el impacto cerca o en capacidad máxima? También sé que esto deja casi no espacio para crecer en la base de usuarios de acceso remoto, pero si recuerdo bien, el siguiente paso sería con el 600F, que es una solución mucho más cara.

¿WWr/FortinetD?

Gracias de antemano por cualquier idea o experiencia anecdótica.

Te diré que el siguiente paso no es hasta un 600F completo. Existe un 200F que sería el paso lógico.

Estás llevando los límites y esos límites siempre están en un entorno de laboratorio. Eso no significa que el 100F no pueda manejarlo, pero no deja mucho espacio para crecer, así que yo optaría por 200F en HA.

Eso depende del modo de VPN, si estás hablando de 500 usuarios máximos, supongo que es VPN SSL.

Debes tener en cuenta que, como el VPN SSL no se descarga, el impacto en la CPU será mayor.

Si solo usas el FortiGate 100F como puerta de enlace VPN, deberías poder manejarlo, aunque 482 no deja mucho espacio para crecer; incluso como puerta de enlace independiente, yo optaría por un 400/401F (el 200F tiene el mismo límite de 500 túneles).

Si es una arquitectura compartida (borde de Internet + VPN + otros usos), ve directamente a un 400F mínimo. Ten en cuenta que los valores que ves en la hoja de datos y en las pruebas no siempre se verifican en combinación con otros casos de uso, y probablemente encontrarás que el techo será más bajo en un FortiGate de múltiples roles.

Es mejor optar por un 400/401F, ya que deberías poder escalar.

Este es un hilo interesante. Estamos considerando incorporar 1300 usuarios SSLVPN en el modelo 600E.

Casi un entorno bancario similar. No tantos usuarios VPN, pero en el pico de COVID, tuvimos que actualizar de un 100E a un 400E debido a los límites de CPU por VPN y tráfico de sucursales. Parece que el tuyo está más disperso ya que toda la carga pasa por la puerta para su registro. El 400E es un poco excesivo para nosotros, pero no queríamos enfrentar esos problemas muy dolorosos cuando el firewall entraba en modo conservación en un día ocupado. Además, si creas políticas con el gateway SSL, eso solo aumentará la carga. Llevo 4 años en un entorno bancario y puedo decir que si presentas el costo adicional como espacio para crecer y adquisiciones, sin costos adicionales de infraestructura, generalmente lo aprueban rápidamente. Además, cuanta más seguridad puedas aplicar al tráfico, mejor para las auditorías. Así que, querría asegurarte de tener suficiente potencia para cubrir eso en el futuro.

Tienes razón — estaba considerando el recuento de usuarios VPN principalmente porque el 100F es suficiente para mis necesidades de rendimiento. El 200F tiene el mismo límite de 500 usuarios. Había malentendido la matriz y no me di cuenta de que el 400/401 es una opción. Eso podría ser lo mejor.

Muchas gracias por la respuesta — esto es la orientación que necesitaba. Tu respuesta y la de u/chapel316 me han ayudado a reorganizar mis ideas. Estoy muy contento, porque vamos a discutir esto con el cliente el lunes y mi recomendación inicial, con esta información, me habría puesto en una mala situación. Este banco es uno de nuestros clientes con más activos y necesitan una solución que funcione de inmediato, sin problemas en el camino.

Será el dispositivo de borde de Internet para ellos, incluyendo acceso VPN SSL a sus recursos corporativos. Después de leer esto y con una vista renovada de la matriz de productos, no hay razón para no proponer el 400/401F en HA como el centro de datos principal, y un solo 400F para el centro de datos de respaldo. El principal es un centro de datos de nivel 4, así que en un mundo perfecto, el de respaldo nunca verá tráfico.

Creo que el límite de 500 no es una restricción rígida, solo una recomendación. Y dado que el 400F recomienda 5000, probablemente haya algo de margen intermedio.

Me alegro de poder ayudar. Un consejo más — no te fíes estrictamente de la matriz de productos; cada modelo de FortiGate tiene su propio hoja de datos también. No todos los modelos están en la matriz.

Solo quería decir que este es el camino correcto para ti, basándome en los datos que has proporcionado.

Mi experiencia relevante; acabo de poner algunos 400F en un hotel con 1000 huéspedes y acceso más rápido que el que tienes, y funciona muy bien. IPsec hacia mis otros centros de datos puede alcanzar 1 Gbps sin problema. El uso de SSLVPN está limitado a un recuento de usuarios mucho menor, pero el 400F tiene una conectividad a Internet de 10 Gbps, y maneja bien. Estoy seguro de que hay potencia para más usuarios VPN. Si tienes la opción, intentaría poner el acceso VPN remoto en IPsec, ya que el rendimiento será descargado por ASIC y no dependiente de la CPU.

También estoy en proceso de proponer un 400F para un centro de datos interno de una cooperativa de crédito con más de 25 pero menos de 50 sucursales y una base de usuarios similar (900 en total, probablemente 350 que usan VPN). Estamos reemplazando su 1000-series actual, que ha estado inactivo por 5 años, pero nada más tenía la cantidad de puertos 10G que necesitábamos en 2018 (solo dos puertos del 600E). Su configuración es un poco diferente, con MPLS de 1G del telco y sin backhaul de Internet — distribuyeron acceso a Internet en 2019/2020 cuando el MPLS pasó de 100 Mbps a Gigabit. En su centro de datos bancario, hay un enlace MPLS de 1G desde la misma red con dos conexiones a Internet de 1G, pero eso solo es el borde para esas aplicaciones y túneles IPsec de terceros.

u/ultimatt tiene la razón y es uno de los mejores ingenieros de Fortinet, así que está bien informado. Gracias una vez más, Matt!

Tenemos un cliente con un 100F actuando como borde de Internet, centro para más de 50 sitios y también un concentrador SSLVPN. Mirando la historia, veo unos 200 usuarios concurrentes como máximo y funciona bastante bien en ese rol (uso de recursos: ~10% CPU / 35% MEM). Sin embargo, al principio tuvimos que reducir la inspección de AV/IPS por problemas de rendimiento.

Pero sí, sugeriría algo un poco más grande porque si estás alcanzando casi el 100% de algún límite de inmediato, realmente no hay espacio para crecer.

Si el cliente insiste en ello por razones presupuestarias, al menos querría una declaración clara de que lo reconocen y que están de acuerdo.

¡Gracias u/nostalia-nse7!