VPN Capacity Planning: Wie viele Nutzer und wie viel Durchsatz?

VPN-Kapazitätsplanung ist ein entscheidender Aspekt im Telekommunikations- und Enterprise-Umfeld. Die korrekte Dimensionierung von VPN-Gateways bestimmt, wie viele Nutzer gleichzeitig sicher arbeiten können und welchen Durchsatz das Netz bewältigen muss. Ein unzureichend geplantes VPN kann zu Engpässen, hoher Latenz oder instabilen Verbindungen führen, während überdimensionierte Lösungen unnötige Kosten verursachen.

Grundlagen der VPN-Kapazitätsplanung

Bei der Planung von VPN-Kapazitäten müssen sowohl die Nutzerzahl als auch der zu erwartende Traffic berücksichtigt werden. Dabei spielen Protokolltyp, Verschlüsselung und die Art der Remote-Zugriffe eine entscheidende Rolle.

Wichtige Parameter

• Anzahl gleichzeitiger VPN-Sessions
• Durchsatz pro Nutzer (Upload/Download)
• Protokoll-Overhead (IPSec, SSL-VPN, WireGuard)
• Peak-Traffic vs. durchschnittlicher Traffic
• QoS-Anforderungen für Voice oder Video über VPN

Berechnung der Nutzerkapazität

Die maximale Anzahl gleichzeitiger Nutzer hängt von Hardware-Ressourcen, Verschlüsselungslast und Bandbreite ab.

Formel für maximale Sessions

Die ungefähre Zahl der maximal unterstützten Nutzer kann folgendermaßen abgeschätzt werden:

Max. Sessions = min(Hardware-Limits, Bandbreiten-Limit / Durchschnittlicher Nutzerdurchsatz)

Beispielrechnung

Ein VPN-Gateway hat 1 Gbit/s Durchsatzkapazität und der durchschnittliche Nutzer verursacht 2 Mbit/s Traffic:

$text\{Max.\; Nutzer\}\; =\; frac\{1,000,text\{Mbit/s\}\}\{2,text\{Mbit/s\}\}\; =\; 500$

Hardware-Limits (z. B. 400 gleichzeitige IPSec-Sessions) setzen jedoch eine obere Grenze, sodass hier maximal 400 Nutzer unterstützt werden können.

Durchsatzplanung

Durchsatzplanung umfasst sowohl Peak Traffic als auch die erwartete Nutzungsmuster. Dabei sollten auch Overheads für Verschlüsselung und Tunnel berücksichtigt werden.

IPSec Overhead

• ESP Header: 20–30 Byte pro Paket
• AH Header (optional): 24 Byte
• MTU-Anpassungen vermeiden Fragmentierung

SSL-VPN Overhead

• TLS-Handshake und Verschlüsselung erhöhen Latenz
• TCP-Protokoll verursacht zusätzliche Header-Bytes
• Durchsatz kann bei vielen gleichzeitigen Verbindungen stärker beeinträchtigt werden

Peak vs. Average Traffic

Bei der Dimensionierung ist es entscheidend, die Unterschiede zwischen durchschnittlichem Traffic und Spitzenlast zu verstehen:

• Durchschnittlicher Traffic = typische Nutzung pro Stunde
• Peak Traffic = maximale Last während der Hauptarbeitszeit
• Headroom von 20–30 % einplanen, um Lastspitzen abzufangen

Beispiel für Peak Planning

Ein Unternehmen erwartet durchschnittlich 100 Mbit/s VPN-Traffic, aber Peaks von 150 Mbit/s. Das Gateway sollte mindestens 180–200 Mbit/s verarbeiten können, um Latenz und Packet Loss zu vermeiden.

Skalierung und Redundanz

Zur Unterstützung von mehr Nutzern oder höheren Durchsatzvolumina können VPN-Gateways skaliert werden.

Horizontale Skalierung

• Mehrere Gateways im Load-Balancing-Modus
• DNS-Round-Robin oder Anycast für automatische Lastverteilung
• Redundanz für Ausfälle einzelner Gateways

Vertikale Skalierung

• Leistungsfähigere Hardware einsetzen
• CPU-Kapazität für IPSec/TLS-Verschlüsselung erhöhen
• Speicher für Session-Management ausbauen

QoS und VPN Capacity

Für Voice- oder Video-over-VPN muss Quality of Service berücksichtigt werden:

• Priorisierung von RTP-Traffic innerhalb des VPN-Tunnels
• Reservierung von Bandbreite für kritische Anwendungen
• Monitoring der Latenz, Jitter und Packet Loss

Beispiel CLI QoS Check

# Prüfen von VPN-Traffic und QoS Counters auf einem Router
show vpn statistics
show policy-map interface tunnel1

Monitoring und Verifikation

Die geplante Kapazität sollte kontinuierlich überwacht werden, um Engpässe frühzeitig zu erkennen.

• Session Counters überwachen
• Durchsatzmessungen pro Tunnel
• Alarmierung bei Auslastung >80 %
• Periodische Lasttests durchführen

Best Practices

• Kapazitätsplanung auf Peak Traffic basieren, nicht auf Durchschnitt
• Headroom für Wachstum und Lastspitzen einplanen
• Horizontale Skalierung für hohe Verfügbarkeit bevorzugen
• QoS für kritische Anwendungen konfigurieren
• Regelmäßiges Monitoring und Load Testing durchführen
• Protokoll-Overhead in der Dimensionierung berücksichtigen

Ein sorgfältig geplantes VPN-Capacity-Design stellt sicher, dass Remote-User und Filialstandorte zuverlässig verbunden bleiben, auch unter Peak-Belastung. Durch die Kombination von Nutzerzahlen, Durchsatz, QoS, Redundanz und kontinuierlichem Monitoring können Provider und Unternehmen stabile und performante VPN-Dienste bereitstellen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.