编者按:铁路未变,火车提速了;网络未变,VPN,你提速了么?在VPN大量普及的同时,运行在VPN网络却出现了很多关键应用的速度瓶颈问题。如何解决VPN应用的速度瓶颈问题,成为了当前大量企业的首要问题。
伴随着中国铁路的第六次大提速,我们迎来了动力车组D时代的来临。高速驰骋的列车为我们的日常出行提供了快捷的途径,缩短了漫长的旅途时间。
和生活中的铁路类似,VPN是商业用户建立网络连接的重要途径。一台台的IPSec VPN部署在各地,将用户分布在天南地北的机构连接在一起。OA、ERP、MIS、CRM等各种应用系统就像一列列飞驰的列车,在这条骨干上呼啸而过。
例如,作为一个设计公司经常需要修改总部的图纸,或上传图纸给总部;企业的总部和分部进行邮件的发送,特别带附件那种;各类企业管理软件的应用,比如,备份数据、软件分发、补丁分发等。
因为互联网的延时的存在,这必将影响传输的速度,比如消耗大量的带宽备份数据阿,发图纸不能即时完成阿。
一:VPN速度太慢,该怎么办?
我们讲一个实例:这里有一个天宇企业通过部署VPN,来实现Smarteam系统的实用(一种C/S结构应用系统,类似于ERP系统)。天宇先在分点与总部之间,建立起VPN网络,分点然后再部署Smarteam系统的客户端,通过VPN,与总部的Smarteam系统服务器端连在一起。
经过系列部署,通过VPN,天宇的员工可以远程使用总部的Smarteam系统了。然而,好景不长,天宇其他几个分点的同事却打来电话说,能够远程接入Smarteam系统,就是速度特别慢,甚至,系统还会自动退出,根本无法正常使用。
为何天宇有的分点能够使用Smarteam系统,而有的分点却不能够使用呢?难道是其他分点的局域网有问题?或者VPN设置不对?
经常多方排查,原来,天宇的一个分部是分厂,规模比较大,整个分部同北京总部一样,都采用了10MB的光纤接入,因为带宽足够,所以,通过VPN可以远程使用Smarteam系统。但是,天宇其他的几个分点,由于规模比较小,都只采用了当地的2MB ADSL上网。2MB ADSL的ADSL带宽,对于一般的小分支机构而言,一般的上网需求完全足够了。不过,如果要在网络上运行Smarteam系统,就不是那么一回事了。
总结起来,主要有以下几个方面的原因:
1、 因为各地的网络情况不同,比如南电信,北网通。总部如果在北方,那么南方的分部可能就不能很好的访问。因为不同的运营商之间可能存在丢包的问题。
2、 带宽不足以支持应用。比如网络电视你需要2M带宽才能保证350kbps 的流量,如果你只有1M的话是不能保证的。
3、 Smarteam系统在运行时,客户端与服务器存在大量的数据交换、协议交换,丢包、延迟的机率增大。
二:速度革命,VPN的三大提速
针对以上问题,VPN在不断更新换代,旨在为用户的应用铺设更平滑、更有力的网络平台。其中,针对以上问题的几种情况,VPN展开了几次提速革命......
第一次提速:压缩方式提速
数据压缩和封包技术是IPSec VPN的第一次大提速。传统的IPSec VPN通过将明文数据包重新加密封装后,引入了新的冗余数据,从而导致传统的IPSec VPN的传输效率只有明文传输效率的70%-80%,使得用户的访问体验受到影响,用户在使用传统IPSec VPN后,感觉"网速变慢了"。而通过对应用层数据和包头进行压缩,可以使IPSec VPN的传输性能远远超出物理带宽的限制,比采用明文传输还要快,尤其当传输文档、报表等文件时,传输效率有非常明显的提高,用户的感觉就是"网速更快了"。
第二次提速:南北互通问题解决
多线路复用和智能选路技术,为VPN网络进行了第二次大提速。多线路复用技术是指一些VPN设备可同时支持多条广域网线路,例如用户可以同时申请2-4条2M的ADSL线路,在小成本投入的情况下,就获得了4M-10M的公网带宽。通过将多线路捆绑成一条高带宽的线路,多线路复用技术为用户提供了带宽保证。同时,多线路备份技术可确保线路的高可用性,即使某一条或多条线路故障,只要有一条线路是通畅的就能保证用户的业务不被中断。
另外,有些用户的分支机构遍布全国各地,但由于国内南北电信的限制,其位于北方的分支机构通常只能申请网通线路,南方的分支机构只能申请电信线路。智能选路技术为此问题提供了一种解决办法。只要在总部申请电信和网通的两条线路并通过VPN的智能选路技术进行实施,当分支机构在与总部进行VPN链接的时候,可以智能选择总部的相应线路接入,总部网络回送的数据包也会从最快的线路回包。在无需采购专门的负载均衡设备情况下,用户就可以提高跨运营商的网络访问速度,解决了中国特色的南电信、北网通之间互联互通的带宽瓶颈问题。
然而这个技术并不能解决所有问题。首先,一些用户即便在总部也只能申请一个运营商的线路,这在某些省市非常普遍。另外,多条线路的申请给用户带来了额外的费用。
此外,我们还可以通过对VPN设备进行改制,在不申请任何的额外线路就能解决南北电信之间的速度问题。目前,Juniper、深信服等专业的VPN设备厂商,就推出了这样的产品。
第三次提速:解决应用系统网络传输的高丢包问题
从技术上看,上层的应用数据在通过传输层时,是通过TCP或UDP两种协议中的一种进行封装,而Internet上的数据传输绝大部分都是通过前者来实现。TCP协议是面向连接的协议,对于源端每个发送的数据包都需要收到目的端返回的确认数据包,以此来保证数据传输的可靠性,再借助于TCP窗口传输机制,使得TCP协议在局域网等高质量网络环境下可以运转的很顺利。
但在面临跨运营商的传输时,如电信和网通之间,或从中国大陆到港澳台、海外其他国家的传输时,由于网络环境复杂,不仅带宽得不到保证,而且面临高丢包的恶劣情况。丢包对TCP协议的效率影响尤其大,即使是10M的公网线路,当丢包率达到1%时,实际可用带宽是0.2M以下,对用户来说,网速已经慢到难以忍受的地步。对于企业用户来讲,企业已经为公网线路支付了巨大的费用,但是因为丢包等问题,应该有的带宽得不到保证,投资收益非常低。
针对这种情况,Juniper、深信服等VPN采取了相应的措施,例如深信服科技推出了一种支持畅联技术(Flash Link)的D系列VPN产品,即是专门针对跨运营商联网问题而研发的新产品。在互联网上,用户可以通过VPN设备建立了一条加密隧道,畅联(Flash Link)技术将隧道中的数据进行封装,并使用FLK协议来临时替换TCP协议来进行数据传输,而在隧道的外延再将FLK协议重新恢复为TCP协议。由于优化了滑动窗口并改进了重传机制,FLK协议非常适合于丢包严重的环境,例如跨运营商的数据传输,使得用户的网络应用在恶劣的网络环境中也能得到很好的体验效果。据了解,D 系列VPN对解决包括C/S、B/S、VoIP等应用有明显的技术优势。
由于VPN市场近年来在国内发展很快,越来越多的用户正在将自己的应用通过VPN实现了互联网扩展。我们相信,随着厂商的持续投入和新技术的不断创新,用户会选用到更快、更安全的VPN产品。
四: 提速后,VPN应用的革命性变化
通过各种提速措施后,VPN应用的效果到底。我们通过一个实例来说明。某汽车集团在北京总部有两条10M线路,分别为电信和网通。另外部署有负载均衡设备、高端防火墙、以及核心交换机等等。在集团的各个办事处成都为10M电信。洛阳为10M网通线路。株洲为10M网通线路。本身集团目前有主要的三个应用系统FTP、办公OA、财务EAS系统需要分支机构的访问,为了更好的提高访问的速率,集团采用了深信服的带有加速功能的VPN设备来提高整个的业务运作效率。
集团的总体网络结构如下图所示:.jpg)
针对该汽车集团目前的应用现状,分别从以下的几个方面进行了针对加速设备使用效果的测试项目:
1、DOC格式文件传输测试,不启动加速的时候传输速度是146KB/S,启用加速以后最大传输速度达到了5957.1KB/S。
2、RAR格式文件传输测试,不启动加速的时候传输速度是152.2KB/s,启用加速以后最大传输速度达到了7733.5KB/s。
3、PPT格式文件传输测试,不启动加速的时候传输速度是141.4B/s,启用加速以后最大传输速度达到了6421.1KB/s。
4、 OA系统中的邮件传输测试,不启动加速的时候传输速度是180KB/s,启用加速以后最大传输速度达到了3680KB/s。
通过测试数据,我们可以较清晰的看到,对比不启用加速设备从总部下载文件,启用加速设备后,加速设备的数据流CASH技术对速度的提升则非常明显,均能达到10-30倍的传输速度。
同时为了区别对比文件缓存方式,特意采用了在原文件中增加内容的方式来测试,从结果中我们可以看到区别文件缓存方式最大的区别是:对于已传输的文件,只要跟原文件有一点区别(例如在文件中增加其他内容),就要对文件进行重新传输;而架设加速设备后,利用加速设备的数据流CASH技术,对于这种在实际应用大量存在的传递跟新内容极少的文件时,效果也非常明显,视应用情况及传输文件,有6-20倍的速度提升。即便是在OA邮件这种动态数据传输的测试中,我们也可以看到加速设备的加速效果,这也是加速设备区分单纯的文件缓存的一个表现,加速设备是真正意义上通过算法等多种技术是达到互联网传输的加速效果。
人们在享用VPN带来的办公能力提升的同时又对传输速度提出了更高的需求。因为VPN毕竟走的还是广域网,受到了广域网中各种因素的影响,如延时,跨运营商的丢包,VPN两端出口带宽的不同等限制。因为,提速成为了VPN应用的关键问题,VPN提速为VPN应用的爆发式增长打开了大门。
