2.3 VPN性能與部署

2.3.1 VPN關(guān)鍵性能指標(biāo)

不同性能的VPN設(shè)備，需要與所接入的網(wǎng)絡(luò)相適應(yīng)，同時(shí)權(quán)威測(cè)評(píng)機(jī)構(gòu)（如中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心等）在對(duì)VPN產(chǎn)品進(jìn)行最大新建連接速率、最大并發(fā)連接數(shù)、VPN吞吐量、最大并發(fā)用戶(hù)數(shù)、傳輸時(shí)延，在進(jìn)行上述測(cè)試時(shí)會(huì)搭建獨(dú)立的測(cè)試用環(huán)境，并且一般使用專(zhuān)用硬件進(jìn)行測(cè)試，如Smartbits等設(shè)備。以下對(duì)這幾個(gè)常見(jiàn)指標(biāo)進(jìn)行說(shuō)明。

1.最大新建連接速率

最大新建連接速率是指用戶(hù)端訪問(wèn)VPN設(shè)備時(shí)最大允許同時(shí)新建連接的速度，VPN這個(gè)值越大說(shuō)明VPN性能越好。

2.最大并發(fā)連接數(shù)

最大并發(fā)連接數(shù)是衡量VPN性能的一個(gè)重要指標(biāo)。在IETF RFC2647中給出了最大并發(fā)連接數(shù)（Concurrent Connections）的定義，是指穿越VPN的主機(jī)之間或主機(jī)與VPN之間能同時(shí)建立的最大連接數(shù)。最大并發(fā)連接數(shù)表示VPN（或其他設(shè)備）對(duì)其業(yè)務(wù)信息流的處理能力，反映出VPN對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力，這個(gè)參數(shù)直接影響到VPN所能支持的最大信息點(diǎn)數(shù)。

3.VPN吞吐量

網(wǎng)絡(luò)中的數(shù)據(jù)是由一個(gè)個(gè)數(shù)據(jù)幀組成的，VPN對(duì)每個(gè)數(shù)據(jù)幀的處理都要耗費(fèi)資源。吞吐量就是指在沒(méi)有數(shù)據(jù)幀丟失的情況下，VPN能夠接受并轉(zhuǎn)發(fā)的最大速率。IETF RFC1242中對(duì)吞吐量做了標(biāo)準(zhǔn)的定義：“The Maximum Rate at Which None of the Offered Frames are Dropped by the Device”，明確提出了吞吐量是指在沒(méi)有丟包時(shí)的最大數(shù)據(jù)幀轉(zhuǎn)發(fā)速率。吞吐量的大小主要由VPN內(nèi)網(wǎng)卡及程序算法的效率決定，尤其是程序算法，會(huì)使VPN系統(tǒng)進(jìn)行大量運(yùn)算，通信量大打折扣。很明顯，同檔次VPN這個(gè)值越大說(shuō)明VPN性能越好。

4.最大并發(fā)用戶(hù)數(shù)

最大并發(fā)用戶(hù)數(shù)是指用戶(hù)端訪問(wèn)VPN設(shè)備時(shí)最大同時(shí)連接的IP數(shù)量，VPN這個(gè)值越大說(shuō)明VPN性能越好。

5.傳輸時(shí)延

網(wǎng)絡(luò)的應(yīng)用種類(lèi)非常復(fù)雜，許多應(yīng)用對(duì)時(shí)延非常敏感（如音頻、視頻等），而網(wǎng)絡(luò)中加入VPN設(shè)備（也包括其他設(shè)備）必然會(huì)增加傳輸時(shí)延，所以較低的時(shí)延對(duì)VPN來(lái)說(shuō)是不可或缺的。測(cè)試時(shí)延是指測(cè)試儀發(fā)送端口發(fā)出數(shù)據(jù)包經(jīng)過(guò)VPN后到接收端口收到該數(shù)據(jù)包的時(shí)間間隔，時(shí)延有存儲(chǔ)轉(zhuǎn)發(fā)時(shí)延和直通轉(zhuǎn)發(fā)時(shí)延兩種。

除上述指標(biāo)外，在部分測(cè)試中還會(huì)進(jìn)行背靠背緩沖等數(shù)據(jù)測(cè)評(píng)，并且隨著VPN技術(shù)的不斷發(fā)展，更多的測(cè)評(píng)項(xiàng)也會(huì)隨之不斷增加進(jìn)來(lái)，以分析VPN各個(gè)應(yīng)用方面的實(shí)際性能。

2.3.2 VPN部署方式

1.網(wǎng)關(guān)接入模式

網(wǎng)關(guān)（Gateway）又稱(chēng)網(wǎng)間連接器、協(xié)議轉(zhuǎn)換器。網(wǎng)關(guān)在傳輸層上以實(shí)現(xiàn)網(wǎng)絡(luò)互連，是最復(fù)雜的網(wǎng)絡(luò)互連設(shè)備，僅用于兩個(gè)高層協(xié)議不同的網(wǎng)絡(luò)互連。網(wǎng)關(guān)既可以用于廣域網(wǎng)互連，也可以用于局域網(wǎng)互連。網(wǎng)關(guān)是一種充當(dāng)轉(zhuǎn)換重任的計(jì)算機(jī)系統(tǒng)或設(shè)備。在使用不同的通信協(xié)議、數(shù)據(jù)格式或語(yǔ)言的，甚至體系結(jié)構(gòu)完全不同的兩種系統(tǒng)之間，網(wǎng)關(guān)是一個(gè)翻譯器。與網(wǎng)橋只是簡(jiǎn)單地傳達(dá)信息不同，網(wǎng)關(guān)對(duì)收到的信息要重新打包，以適應(yīng)目標(biāo)系統(tǒng)的需求。同時(shí)，網(wǎng)關(guān)也可以提供過(guò)濾和安全功能。大多數(shù)網(wǎng)關(guān)運(yùn)行在OSI 7層協(xié)議的頂層—應(yīng)用層。圖2-18是網(wǎng)關(guān)接入模式示意圖。

天融信VPN安全網(wǎng)關(guān)是將兩個(gè)使用不同協(xié)議的網(wǎng)絡(luò)段連接在一起的設(shè)備。它的作用就是對(duì)兩個(gè)網(wǎng)絡(luò)段中使用傳輸協(xié)議的數(shù)據(jù)進(jìn)行互相的翻譯轉(zhuǎn)換。VPN安全網(wǎng)關(guān)具備以下特點(diǎn)：

（1）可擴(kuò)展性高。

（2）能夠多協(xié)議支持，對(duì)SMTP、HTTP、FTP和POP3通信進(jìn)行加密，對(duì)網(wǎng)絡(luò)和用戶(hù)實(shí)行應(yīng)有的保護(hù)功能。

（3）能透明的聯(lián)機(jī)掃描，保存諸如源IP和MAC地址等信息。透明掃描選項(xiàng)在易于安裝的同時(shí)，還可以對(duì)內(nèi)部Web服務(wù)器進(jìn)行保護(hù)。

（4）能夠進(jìn)行內(nèi)容管理，防止用戶(hù)接收或發(fā)送帶有某種類(lèi)型附件、容量過(guò)大或帶有過(guò)多、過(guò)大附件的郵件。

（5）能滿足不同通信協(xié)議的網(wǎng)絡(luò)互連，使文件可以在這些網(wǎng)絡(luò)之間傳輸，阻止黑客入侵、檢查病毒、身份認(rèn)證與權(quán)限檢查等很多安全功能，需要VPN完成或由VPN與相關(guān)產(chǎn)品協(xié)同完成。

2.旁路接入模式

旁路接入模式即透明模式（Transparent），即用戶(hù)意識(shí)不到VPN的存在。要想實(shí)現(xiàn)透明模式，VPN必須在沒(méi)有IP地址的情況下工作，只需要對(duì)其設(shè)置管理IP地址，添加默認(rèn)網(wǎng)關(guān)地址。

VPN作為實(shí)際存在的物理設(shè)備，其本身也可以起到路由的作用，所以在為用戶(hù)安裝VPN時(shí)，就需要考慮如何改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)或修改連接VPN的路由表，以適應(yīng)用戶(hù)的實(shí)際需要，這樣就增加了工作的復(fù)雜程度和難度。但如果VPN采用了透明模式，即采用無(wú)IP方式運(yùn)行，用戶(hù)將不必重新設(shè)定和修改路由，VPN就可以直接安裝和放置到網(wǎng)絡(luò)中使用。在采用透明方式部署VPN后的網(wǎng)絡(luò)結(jié)構(gòu)不需要做任何調(diào)整，即使需要把VPN去掉，網(wǎng)絡(luò)依然可以很方便地連通，不需要調(diào)整網(wǎng)絡(luò)上的交換及路由。如圖2-19所示為以透明方式部署VPN后的一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)。