IPSec VPN 速度为王

　　伴随着中国铁路的第六次大提速，我们迎来了动力车组D时代的来临。高速驰骋的列车为我们的日常出行提供了快捷的途径，大大缩短了漫长的旅途时间。同样，VPN是商业用户建立网络连接的重要“铁路”。一台台的IPSec VPN部署在各地，将用户分布在天南地北的机构连接在一起。OA、ERP、MIS、CRM等各种应用系统就像一列列飞驰的列车，在这条骨干上呼啸而过。

　　就像旅客经常抱怨列车晚点一样，很多用户对VPN的速度不甚满意，许多应用系统在VPN网络中速度很慢，甚至无法正常使用，使得VPN的作用大打折扣。

　　随着中国铁路的大提速，用于解决网络间互联互通的IPSec VPN是否也在更新换代，越来越快呢?笔者尝试回顾了VPN这几年的技术发展，希望给各位提供一个VPN的进步历程：

　　第一次提速

　　数据压缩和封包技术是IPSec VPN的第一次大提速。传统的IPSec VPN通过将明文数据包重新加密封装后，引入了新的冗余数据，从而导致传统的IPSec VPN的传输效率只有明文传输效率的70%-80%，使得用户的访问体验受到影响，用户在使用传统IPSec VPN后，感觉“网速变慢了”。而通过对应用层数据和包头进行压缩，可以使IPSec VPN的传输性能远远超出物理带宽的限制，比采用明文传输还要快，尤其当传输文档、报表等文件时，传输效率有非常明显的提高，用户的感觉就是“网速更快了”。

　　现在，数据压缩和封包技术已经在很多创新性的IPSec VPN中普及，例如Cisco的LZS压缩技术、深信服的LZO技术，都将文件的传输效率提高了10%-30%，和其他未采用相关技术的VPN相比，加速效果明显。

　　第二次提速

　　多线路复用和智能选路技术，为VPN网络进行了第二次大提速。多线路复用技术是指一些VPN设备可同时支持多条广域网线路，例如用户可以同时申请2-4条2M的ADSL线路，在小成本投入的情况下，就获得了4M-10M的公网带宽。通过将多线路捆绑成一条高带宽的线路，多线路复用技术为用户提供了带宽保证。同时，多线路备份技术可确保线路的高可用性，即使某一条或多条线路故障，只要有一条线路是通畅的就能保证用户的业务不被中断。

　　另外，有些用户的分支机构遍布全国各地，但由于国内南北电信的限制，其位于北方的分支机构通常只能申请网通线路，南方的分支机构只能申请电信线路。智能选路技术为此问题提供了一种解决办法。只要在总部申请电信和网通的两条线路并通过VPN的智能选路技术进行实施，当分支机构在与总部进行VPN链接的时候，可以智能选择总部的相应线路接入，总部网络回送的数据包也会从最快的线路回包。在无需采购专门的负载均衡设备情况下，用户就可以提高跨运营商的网络访问速度，解决了中国特色的南电信、北网通之间互联互通的带宽瓶颈问题。

　　然而这个技术并不能解决所有问题。首先，一些用户即便在总部也只能申请一个运营商的线路，这在某些省市非常普遍。另外，多条线路的申请给用户带来了额外的费用。

　　能否不申请任何的额外线路就能解决南北电信之间的速度问题呢?前不久，有一项新的技术诞生，很可能引爆VPN领域的一次速度革命。

　　第三次提速

　　从技术上看， Internet上的数据传输绝大部分都是通过TCP协议来实现的。TCP协议是面向连接的协议，对于源端每个发送的数据包都需要收到目的端返回的确认数据包，以此来保证数据传输的可靠性，再借助于TCP窗口传输机制，使得TCP协议在局域网等高带宽低时延的网络环境下运转的很顺利。但是，在面临跨运营商的传输时，如电信和网通之间，或从中国大陆到港澳台、海外其他国家的传输时，由于运营商网络之间的丢包率频繁，即使网络两端的带宽足够，但仍然会导致传输性能的大幅下降。

　　我们知道，丢包对TCP协议的效率影响非常大，即使是10M的公网线路，当丢包率达到1%时，实际可用带宽是0.2M以下，对用户来说，网速已经慢到难以忍受的地步。对于企业用户来讲，企业已经为公网线路支付了巨大的费用，但是因为丢包等问题，应有的带宽得不到保证，投资收益非常低。

　　深信服的支持畅联技术(Flash Link)的D系列VPN产品，即是专门针对跨运营商联网问题而研发的新产品。在互联网上，用户通过VPN设备建立了一条加密隧道，畅联(Flash Link)技术将隧道中的数据进行重封装，使用FLK协议来替换TCP协议来进行数据传输，而在隧道的外延再将FLK协议重新恢复为TCP协议。由于优化了滑动窗口并改进了重传机制，FLK协议非常适合于丢包严重的环境，例如跨运营商的数据传输，使得用户的网络应用在恶劣的网络环境中也能得到很好的体验效果。同时,FLK协议是TCP协议的一个延伸，主要在数据包的数据部分进行了优化，一方面，D系列VPN可以通过FLK协议进行互联网上的传输通讯，另一方面，由于采用了通用协议的包头部分，FLK协议可以顺利穿透NAT设备，这样就可以保证D系列VPN设备无论部署在内网哪个位置，都可以进行正常的数据通讯。

　　D 系列VPN对解决包括C/S、B/S、VoIP等应用的跨运营商传输有很大改善。在互联网上通过D系列VPN联网，在电信和网通间的互连速度可以比加速前提高2-5倍，效果非常好。

　　作为部署在用户前沿网络的重要设备，VPN承担着连接各地的局域网、保护应用数据的任务，如何选择一款技术领先、能解决用户切实问题的VPN，曾经困扰了众多的用户。本文希望通过对VPN的技术趋势介绍，为所有关注VPN技术的用户提供一个参考，便于我们的选择。