我们正在将一个小型的远程办公室迁移到一个新的位置,这意味着新的互联网连接和一个新的路由器 我注意到他们目前正在configuration通过VPN使用远程网关,因此他们所有的互联网stream量都通过中心局的连接,这对我来说似乎是缓慢和低效的。
我正在考虑将它们configuration为使用本地网关进行非VPN通信。 有没有理由不这样做? 对我来说,这是解决这个问题的最好方法。 不幸的是,这个设置的人已经很久了,我不确定你有什么理由要这样做。
通常有两个原因我看到完成。
正如Robert Kaucher所说,在“中心站点”进行内容过滤,logging和执行是一个重要的原因。 许多内容过滤产品允许“远程”服务器部署在远程站点上,以执行基于中央“策略服务器”的过滤和日志logging。 但是,对于没有任何服务器计算机的远程站点,组织可能只是select将所有stream量路由回中央过滤服务器。
集中的防火墙规则和监控是我见过的另一个常见原因(尤其是用户到站点的VPN,但我也在站点间看到过)。 “分割隧道”(即,允许远程VPN端点直接与互联网通信,并且仅向VPNpipe道上的公司networking发送stream量)被认为是主要的安全风险。 在一个站点到站点的环境中,你可以打电话说远程办公室的防火墙应该被configuration为允许安全的直接访问Internet,但是我已经看到了被认为是“更好”的情况(我想是因为防火墙远程站点的规则最终基本上是“仅允许VPN通信”)将所有互联网stream量路由到“集线器”站点。
您应该看到“hub”站点的带宽利用率有所改善,并且通过转移到分离的隧道,可以提高远程站点的响应能力。 只要你在远程站点有固定的防火墙规则(以及你想要的任何监控基础设施,内容filter等),就不应该有任何理由不允许它直接访问因特网,并在“枢纽“网站。
至less据我所知,你可能想要做的唯一真正的事情就是内容过滤。 由于只有一个内容filter需要担心,因此pipe理起来会比较容易。
这些可能不太可能,但是要排除的是:
就像Evan提到的,我怀疑真正的原因是防火墙规则,可能是因为旧的设备没有一个好的状态防火墙。 假设现在有一个,我没有看到任何一般的理由不让他们的互联网stream量直接发送。 这就是我的工作场所的远程站点一直运行的方式。