同样,VPN是商业用户建立网络连接的重要“铁路”。一台台的IPSec VPN部署在各地,将用户分布在天南地北的机构连接在一起。OA、ERP、MIS、CRM等各种应用系统就像一列列飞驰的列车,在这条骨干上呼啸而过。
就像旅客经常抱怨列车晚点一样,很多用户对VPN的速度不甚满意,许多应用系统在VPN网络中速度很慢,甚至无法正常使用,使得VPN的作用大打折扣。
随着中国铁路的大提速,用于解决网络间互联互通的IPSec VPN是否也在更新换代,越来越快呢?笔者尝试回顾了VPN这几年的技术发展,希望给各位提供一个VPN的进步历程:
第一次提速
数据压缩和封包技术是IPSec VPN的第一次大提速。传统的IPSec VPN通过将明文数据包重新加密封装后,引入了新的冗余数据,从而导致传统的IPSec VPN的传输效率只有明文传输效率的70%-80%,使得用户的访问体验受到影响,用户在使用传统IPSec VPN后,感觉“网速变慢了”。而通过对应用层数据和包头进行压缩,可以使IPSec VPN的传输性能远远超出物理带宽的限制,比采用明文传输还要快,尤其当传输文档、报表等文件时,传输效率有非常明显的提高,用户的感觉就是“网速更快了”。
现在,数据压缩和封包技术已经在很多创新性的IPSec VPN中普及,例如Cisco的LZS压缩技术、深信服的LZO技术,都将文件的传输效率提高了10%-30%,和其他未采用相关技术的VPN相比,加速效果明显。
第二次提速
多线路复用和智能选路技术,为VPN网络进行了第二次大提速。多线路复用技术是指一些VPN设备可同时支持多条广域网线路,例如用户可以同时申请2-4条2M的ADSL线路,在小成本投入的情况下,就获得了4M-10M的公网带宽。通过将多线路捆绑成一条高带宽的线路,多线路复用技术为用户提供了带宽保证。同时,多线路备份技术可确保线路的高可用性,即使某一条或多条线路故障,只要有一条线路是通畅的就能保证用户的业务不被中断。
另外,有些用户的分支机构遍布全国各地,但由于国内南北电信的限制,其位于北方的分支机构通常只能申请网通线路,南方的分支机构只能申请电信线路。智能选路技术为此问题提供了一种解决办法。只要在总部申请电信和网通的两条线路并通过VPN的智能选路技术进行实施,当分支机构在与总部进行VPN链接的时候,可以智能选择总部的相应线路接入,总部网络回送的数据包也会从最快的线路回包。在无需采购专门的负载均衡设备情况下,用户就可以提高跨运营商的网络访问速度,解决了中国特色的南电信、北网通之间互联互通的带宽瓶颈问题。
然而这个技术并不能解决所有问题。首先,一些用户即便在总部也只能申请一个运营商的线路,这在某些省市非常普遍。另外,多条线路的申请给用户带来了额外的费用。
能否不申请任何的额外线路就能解决南北电信之间的速度问题呢?前不久,有一项新的技术诞生,很可能引爆VPN领域的一次速度革命。
第三次提速
从技术上看, Internet上的数据传输绝大部分都是通过TCP协议来实现的。TCP协议是面向连接的协议,对于源端每个发送的数据包都需要收到目的端返回的确认数据包,以此来保证数据传输的可靠性,再借助于TCP窗口传输机制,使得TCP协议在局域网等高带宽低时延的网络环境下运转的很顺利。但是,在面临跨运营商的传输时,如电信和网通之间,或从中国大陆到港澳台、海外其他国家的传输时,由于运营商网络之间的丢包率频繁,即使网络两端的带宽足够,但仍然会导致传输性能的大幅下降。
我们知道,丢包对TCP协议的效率影响非常大,即使是10M的公网线路,当丢包率达到1%时,实际可用带宽是0.2M以下,对用户来说,网速已经慢到难以忍受的地步。对于企业用户来讲,企业已经为公网线路支付了巨大的费用,但是因为丢包等问题,应有的带宽得不到保证,投资收益非常低。
深信服的支持畅联技术(Flash Link)的D系列VPN产品,即是专门针对跨运营商联网问题而研发的新产品。在互联网上,用户通过VPN设备建立了一条加密隧道,畅联(Flash Link)技术将隧道中的数据进行重封装,使用FLK协议来替换TCP协议来进行数据传输,而在隧道的外延再将FLK协议重新恢复为TCP协议。由于优化了滑动窗口并改进了重传机制,FLK协议非常适合于丢包严重的环境,例如跨运营商的数据传输,使得用户的网络应用在恶劣的网络环境中也能得到很好的体验效果。同时,FLK协议是TCP协议的一个延伸,主要在数据包的数据部分进行了优化,一方面,D系列VPN可以通过FLK协议进行互联网上的传输通讯,另一方面,由于采用了通用协议的包头部分,FLK协议可以顺利穿透NAT设备,这样就可以保证D系列VPN设备无论部署在内网哪个位置,都可以进行正常的数据通讯。
D系列VPN对解决包括C/S、B/S、VoIP等应用的跨运营商传输有很大改善。在互联网上通过D系列VPN联网,在电信和网通间的互连速度可以比加速前提高2-5倍,效果非常好。
渔翁VPN安全认证网关的特点:1.IPSec VPN 功能:产品集成了IPSec VPN功能,完整实现了IPSec、IKE等标准协议,能够有效地在地理上分散的子网之间建立安全数据通道,帮助实现企业内网信息资源的有效整合。2.SSL VPN功能:产品遵循国家密码局最新发布的《SSL VPN技术规范》,使用安全套接层(SSL协议)提供数据加密,使企业内部数据可以利用公网(Internet)通道进行安全传送。
3.防火墙功能:产品集成了高性能的企业级状态防火墙,能保护内部网免靠性和稳定性。受来自Internet的各类访问攻击,同时也有效地保证网关自身的安全。
4.支持多线路负载均衡技术:支持多机并行工作,实现多条线路间的负载均衡和线路备份功能,可以有效的扩宽企业上网带宽,提高企业内部网系统的可
5.SSL隧道和IPSec隧道有机结合:对于企业的分支机构网络可以使用IPSec VPN实现安全互连对于移动用户、合作伙伴等,利用SSL VPN实现安全接入。
6.支持多种网络协议:产品通过IP隧道技术,实现了对TCP/IP所有协议的完整支持同时支持新一代的IPv6协议。
7.支持国产密码算法:全面支持国家密码管理局指定的SM1、SM2、SM3、SM4国产密码算法。
8.数据压缩技术:渔翁VPN安全认证网关采用数据实时压缩算法,对网络数据先压缩后传送,有效的提高了终端用户在使用VPN时的访问速度,减少了下载时间和网络流量。
9.丰富的日志功能:支持日志通过标准协议发送到外部的日志服务器上。管理员可指定各种条件对日志进行查询,如时间范围、日志级别、错误类型等。
10.支持第三方C通过生成PKSC#10请求,可以支持第三方CA签发的数字证书。这样可以在保证安全性的同时提供更多的灵活性,简化部署过程,避免多套认证体系带来的维护成本和安全风险。
以下就是渔翁信息VPN安全认证网关的产品优势:1)全面支持国密产密码算法
全面支持通过国家密码管理局审批的SM1、SM2、SM3、SM4商用密码算法,具有更高的安全性。
2)SSL VPN、IPSec VPN二合一
IPSec VPN和SSL VPN二合为一,充分发挥两者的优势,避免单一技术的不足,拓宽VPN的应用范围。
3)独立硬件加密卡
VPN安全认证网关采用渔翁公司自主研发的高速密码卡,将需要计算程度较高的加密/解密流程从CPU中分离出来,提高SSL VPN网关的性能。
4)负载均衡
通过负载均衡算法来保证资源的负载均衡接入,动态选择接入服务器,提高访问效率。
5)智能选路
多线路最优选路VPN技术中专门加入了智能选路功能。如果总部是多线路,各分支节点在与总部构建VPN隧道时,总部设备能分析判断客户机的外网访问请求,客户端选择最优线路,使用户在任何地方连接总部都能获得最快速度。
6)内置CA系统,支持第三方CA
内置渔翁数字证书认证系统,可自建完善的身份认证体系,提供VPN服务器证书和个人身份证书服务,也可无缝支持第三方数字认证中心的数字证书。
7)支持多种认证方式
安全认证网关支持数字证书、用户名/口令、LDAP、Radius、短信猫+短信网关等多种认证方式。 可以去上百度看看。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)