我爱电脑技术论坛 » 电脑综合区 » 浅谈VPN技术发展历程

麦迪 发表于 2008-6-2 00:43

浅谈VPN技术发展历程

一台台的IPSec VPN部署在各地，将用户分布在天南地北的机构连接在一起。OA、ERP、MIS、CRM等各种应用系统就像一列列飞驰的列车，在这条骨干上呼啸而过。 Ax'H
Fa$A]Bc
8i1@L
C9~ O%Y`
就像旅客经常抱怨列车晚点一样，很多用户对VPN的速度不甚满意，许多应用系统在VPN网络中速度很慢，甚至无法正常使用，使得VPN的作用大打折扣。
W{'VzoB-E .SW3z%mi
随着中国铁路的大提速，用于解决网络间互联互通的IPSec VPN是否也在更新换代，越来越快呢？笔者尝试回顾了VPN这几年的技术发展，希望给各位提供一个VPN的进步历程：
0f kn'g3r*r3wWg
i,J~#W@i+U 第一次提速 HI;Q8_+hF"[?

,Hqi(a+q8N4}B
Ng`)Zg 数据压缩和封包技术是IPSec VPN的第一次大提速。传统的IPSec VPN通过将明文数据包重新加密封装后，引入了新的冗余数据，从而导致传统的IPSec VPN的传输效率只有明文传输效率的70%-80%，使得用户的访问体验受到影响，用户在使用传统IPSec VPN后，感觉“网速变慢了”。而通过对应用层数据和包头进行压缩，可以使IPSec VPN的传输性能远远超出物理带宽的限制，比采用明文传输还要快，尤其当传输文档、报表等文件时，传输效率有非常明显的提高，用户的感觉就是“网速更快了”。
b${6H)Goz
@Mr"ZJ.qO!p 现在，数据压缩和封包技术已经在很多创新性的IPSec VPN中普及，例如Cisco的LZS压缩技术、深信服的LZO技术，都将文件的传输效率提高了10％－30％，和其他未采用相关技术的VPN相比，加速效果明显。

麦迪 发表于 2008-6-2 00:44

　　
hnmQ3{D2M)A,c 第二次提速
.xmHJ f6r.e
g!K-[s.PE-K5t F7Y 多线路复用和智能选路技术，为VPN网络进行了第二次大提速。多线路复用技术是指一些VPN设备可同时支持多条广域网线路，例如用户可以同时申请2－4条2M的ADSL线路，在小成本投入的情况下，就获得了4M－10M的公网带宽。通过将多线路捆绑成一条高带宽的线路，多线路复用技术为用户提供了带宽保证。同时，多线路备份技术可确保线路的高可用性，即使某一条或多条线路故障，只要有一条线路是通畅的就能保证用户的业务不被中断。
xg/ta6?O `Tk+I1R
!dO8n&nJ XH^]
V 另外，有些用户的分支机构遍布全国各地，但由于国内南北电信的限制，其位于北方的分支机构通常只能申请网通线路，南方的分支机构只能申请电信线路。智能选路技术为此问题提供了一种解决办法。只要在总部申请电信和网通的两条线路并通过VPN的智能选路技术进行实施，当分支机构在与总部进行VPN链接的时候，可以智能选择总部的相应线路接入，总部网络回送的数据包也会从最快的线路回包。在无需采购专门的负载均衡设备情况下，用户就可以提高跨运营商的网络访问速度，解决了中国特色的南电信、北网通之间互联互通的带宽瓶颈问题。 %|"O
X!k,d

sV)z%`1nFX| l[attach]28459[/attach]s8N@9~ i@+X s l$[a&w3u
7~.BKo3~:]e/c A
　
;rr{d`K\F [attach]28460[/attach]
Z1}
S#wUQ"pS C u:n)sat.biq
2S-n)|C&Z
^e1?
u(Hv0{rs~
H
然而这个技术并不能解决所有问题。首先，一些用户即便在总部也只能申请一个运营商的线路，这在某些省市非常普遍。另外，多条线路的申请给用户带来了额外的费用。 d:U,QcVa9V| WG

{j5}#UU8Y"D:d@ 能否不申请任何的额外线路就能解决南北电信之间的速度问题呢？前不久，有一项新的技术诞生，很可能引爆VPN领域的一次速度革命。o
Bx6d*`!E-Qo{
4Cv K
_;p{a0x
[attach]28459[/attach]

麦迪 发表于 2008-6-2 00:44

第三次提速
kHN?5cSJ bC,H
Y r2q@9Q4jK;g 从技术上看， Internet上的数据传输绝大部分都是通过TCP协议来实现的。TCP协议是面向连接的协议，对于源端每个发送的数据包都需要收到目的端返回的确认数据包，以此来保证数据传输的可靠性，再借助于TCP窗口传输机制，使得TCP协议在局域网等高带宽低时延的网络环境下运转的很顺利。但是，在面临跨运营商的传输时，如电信和网通之间，或从中国大陆到港澳台、海外其他国家的传输时，由于运营商网络之间的丢包率频繁，即使网络两端的带宽足够，但仍然会导致传输性能的大幅下降。
A)~Nv m*Z,h+OA /geGAb7nAb
ff
我们知道，丢包对TCP协议的效率影响非常大，即使是10M的公网线路，当丢包率达到1%时，实际可用带宽是0.2M以下，对用户来说，网速已经慢到难以忍受的地步。对于企业用户来讲，企业已经为公网线路支付了巨大的费用，但是因为丢包等问题，应有的带宽得不到保证，投资收益非常低。
+|/SL1oG+?d)x&^ U*HCD.iZ'v:@P3y!H
深信服的支持畅联技术（Flash Link）的D系列VPN产品，即是专门针对跨运营商联网问题而研发的产品。在互联网上，用户通过VPN设备建立了一条加密隧道，畅联（Flash Link）技术将隧道中的数据进行重封装，使用FLK协议来替换TCP协议来进行数据传输，而在隧道的外延再将FLK协议重新恢复为TCP协议。由于优化了滑动窗口并改进了重传机制，FLK协议非常适合于丢包严重的环境，例如跨运营商的数据传输，使得用户的网络应用在恶劣的网络环境中也能得到很好的体验效果。同时,FLK协议是TCP协议的一个延伸，主要在数据包的数据部分进行了优化，一方面，D系列VPN可以通过FLK协议进行互联网上的传输通讯，另一方面，由于采用了通用协议的包头部分，FLK协议可以顺利穿透NAT设备，这样就可以保证D系列VPN设备无论部署在内网哪个位置，都可以进行正常的数据通讯。
W-W!m3M aG
vC:p OTPj;v
D 系列VPN对解决包括C/S、B/S、VoIP等应用的跨运营商传输有很大改善。在互联网上通过D系列VPN联网，在电信和网通间的互连速度可以比加速前提高2－5倍，效果非常好。
g b.HAr2y*nK6f]
"Owyl[H&i
[ 作为部署在用户前沿网络的重要设备，VPN承担着连接各地的局域网、保护应用数据的任务，如何选择一款技术领先、能解决用户切实问题的VPN，曾经困扰了众多的用户。本文希望通过对VPN的技术趋势介绍，为所有关注VPN技术的用户提供一个参考，便于我们的选择。

查看完整版本: 浅谈VPN技术发展历程