Capacity Engineering: Concurrent Users, CPS und Session Tables dimensionieren

Capacity Engineering ist ein entscheidender Bestandteil der Planung und Optimierung von Remote Access-Infrastrukturen. Um sicherzustellen, dass VPN-Gateways und Firewalls unter hoher Last stabil arbeiten, müssen Concurrent Users, Connection Per Second (CPS) und Session Tables richtig dimensioniert werden. Eine unzureichende Kapazität kann zu Verbindungsabbrüchen, Performance-Einbußen und Sicherheitsrisiken führen. In diesem Tutorial erklären wir praxisnah, wie diese Parameter berechnet, dimensioniert und überwacht werden.

Concurrent Users dimensionieren

Concurrent Users sind die gleichzeitigen Verbindungen, die ein VPN-Gateway oder eine Firewall verarbeiten muss. Die Dimensionierung hängt von der Anzahl der Mitarbeiter, Remote-User und Peak-Traffic-Zeiten ab.

Berechnung der Concurrent Users

Zur Berechnung werden historische Daten und Peak-Nutzung berücksichtigt.

Concurrent Users = Total Users x Peak Usage %
Beispiel: 500 Benutzer x 40% Peak = 200 Concurrent Users

Best Practices

• 10–20% Puffer für unvorhergesehene Last
• Berücksichtigung saisonaler Schwankungen (z. B. Quartals- oder Monatsanfang)
• Regelmäßige Überprüfung der Gateway-Logs zur Anpassung der Kapazität

Connections Per Second (CPS)

CPS beschreibt die Anzahl neuer Verbindungen, die pro Sekunde aufgebaut werden können. Hohe CPS-Werte sind besonders wichtig bei Remote-Access-Events oder nach einem Ausfall, wenn viele Clients gleichzeitig reconnecten.

Berechnung von CPS

Die Berechnung basiert auf der erwarteten Anzahl neuer Verbindungen pro Zeiteinheit:

CPS = Concurrent Users / Average Session Establishment Time
Beispiel: 200 Concurrent Users / 5 Sekunden = 40 CPS

Optimierungsmaßnahmen

• Verteilung der VPN-User auf mehrere Gateways
• Lastbalancing und Redundanz konfigurieren
• Optimierung der Authentifizierungs- und Handshake-Prozesse
• Monitoring von CPS und Session Drops

Session Tables dimensionieren

Session Tables halten Informationen über alle aktiven Verbindungen. Die Größe der Session Table bestimmt, wie viele gleichzeitige Verbindungen ein Gerät verwalten kann.

Berechnung der Session Table Size

Session Table Size = Concurrent Users x Sessions per User x Safety Factor
Beispiel: 200 Concurrent Users x 2 Sessions/User x 1.5 Safety Factor = 600 Einträge

Wichtige Aspekte

• Sicherstellen, dass Session Table ausreichend groß ist, um Peak-Load zu bewältigen
• Monitoring auf Session Table Overflow oder Dropped Sessions
• Optimierung von Session Timeouts, um Ressourcen freizugeben
• Berücksichtigung von Multi-Tunnel-Szenarien oder Split Tunneling

IP-Adressierung und Subnetting

Die IP-Adressierung unterstützt Capacity Engineering durch klare Planung von VPN-Subnetzen. Ausreichend IPs müssen für gleichzeitige Verbindungen bereitstehen.

Subnetzberechnung für VPN-Clients

Beispiel: 200 gleichzeitige Remote VPN-User

Hosts = 200, BenötigteIPs = 200 + 2 = 202
2^n ge 202
n = 8 → 256 IPs (/24)

Monitoring und Performance-Analyse

Regelmäßiges Monitoring von Concurrent Users, CPS und Session Tables ist entscheidend, um Engpässe frühzeitig zu erkennen und Kapazitäten anzupassen.

Empfohlene Metriken

• Peak Concurrent Users pro Stunde/Tag
• Durchschnittliche CPS bei Anmeldewellen
• Auslastung der Session Tables
• Dropped Sessions oder Timeouts
• CPU- und Speicherlast der VPN-Gateways

Beispiel CLI Monitoring Cisco ASA

show vpn-sessiondb summary
show vpn-sessiondb detail
show conn count
show memory

Best Practices Capacity Engineering

• Planung auf Basis historischer und erwarteter Benutzerzahlen
• 10–20% Kapazitätspuffer für Spitzenlasten
• Lastbalancing über mehrere Gateways implementieren
• Regelmäßiges Monitoring von CPS, Session Tables und CPU/Memory
• Optimierung von Session Timeouts und Handshake-Zeiten
• Subnetzplanung zur ausreichenden IP-Versorgung
• Automatisierte Alerts bei kritischer Auslastung
• Regelmäßige Überprüfung der Kapazitätsplanung basierend auf Wachstum oder neuen Services

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.