VPN速度快,还是做NAT速度快?

　　【IT168 报道】应用的场景通常为有服务器需要让外部人员访问,有两种方法来实现,一是做端口转发,一是通过VPN.如果排除安全性方面的问题,那么随便用哪种方式都可以满足这个需要了.但是,即然不考虑安全性,那总要考虑哪个方法速度更快吧!那么,这两种方式,哪种更快呢?

　　很多设备厂商都说,他们使用的VPN加速芯片,在定量的情况,基本上不会有速度问题.所谓定量是指,假如你VPN的吞吐量为10M,那么如果你带宽不超过10M,那么这个速度就不会有区别了!事实是这样吗?

　　刚好手上有个环境,正好拿来测试一下.

　　拓朴是这样的:??server(192.168.0.250)---FW1----Internet-----FW2---PC(192.168.35.18)

　　FW1为hillstone SA5020,防火墙吞吐为4G,IPSEC VPN吞吐量(3DES+SHA-1)也为4G,FW2为hillstone SA-2003,防火墙及VPN吞吐量同为300M,这已经算是极限了,VPN吞吐量跟防火墙相同,应该说,速度应该是完全相等了.可事实是这样吗?

　　我们在SA5020上对服务器做端口转发和与SA-2003建立VPN连接,然后在PC上同时用两种方法telnet 到这个端口,即:

　　? ?? ?telnet 192.168.0.250 XXXX
　　? ?? ?telnet 59.61.XXX.XXX XXXX

　　同时在PC上抓包,得到哪下图:

　　1.jpg.jpg (34.25 KB)
　　2008-5-29 14:53

　　这是通过VPN所建立的连接，我们看到，从客户端发出SYN请求，到服务器响应ACK，仅花费了0.001678秒的时间，接着我们看通过外网来访问的：

　　2.jpg (25.77 KB)
　　2008-5-29 14:53

　　我们看到，通过外网来访问建立的连接，从客户端发SYN请求到服务器响应ACK，仅花费了0.001465秒，比之通过VPN，要快上0.00002秒的时间，也就是说，通过外网对服务器进行访问，网络的延时会比通过VPN的少，体现在速度上，那么应该会比通过VPN访问要快。

　　在等同条件下,这个时间差0.00002秒,那么就是精确的NAT与VPN的速度差别,虽然说这个差别已经无法从感觉上去体验了!!!

　　所以,无论说VPN速度有多快,那还是会跟NAT有差别的.

　　但同时,我们也看到,SA在处理VPN的速度上,确实也已经达到极限了~

　　睿博工作室介绍

　　本文章系睿博工作室提供，睿博工作室是一群在网络性能，网络安全及网络故障方面有着多年从业经验的咨深专业人士、致力于为政府、教育、能源以及广大企事业单位提供优质的技术咨询及服务的技术团队。其宗旨是：以专业技术，资深经验、热情服务，全力为客户打造高性能的安全网络！