VPN加速：能改善远程访问低效性?

　　    既然通过VPN连接存在着效率低下的问题，那么有没有较好的解决方案呢？此时，就需要引入广域网加速技术了，例如Riverbed、深信、Bluecoat、思科等厂商的技术，目前主要通过以下技术对VPN进行优化：

　　1.传输协议优化
　　VPN依赖于Internet建立自己的内部链接，解决VPN的低效性，首要问题就是解决Internet网络的质量问题。我们以深信服广域网加速技术为例，它的TCP代理就能够很好的解决这一问题， TCP是一种基于连接的安全传输控制协议，它要求每一次请求都需要有应答进行确认，网络时延造成的响应时间减慢很大程度上是TCP协议等待确认的结果，这个问题最简便的解决方法是让拦截设备"监听"TCP ACK消息，并管理广域网上的信息传输。这样，最终主机便认为远程端与它并排位于局域网上，从而能够以更快的速度与加速平台互动。

　　
　　如上图所示，广域网加速设备中的应答优化机制通过对TCP消息进行监听，减少应答在广域网中传输的次数，同时又保证了协议交互的完整性，大大的减少了广域网延迟对传输的影响。

　　2.应用协议优化（以CIFS为例）
　　CIFS协议是微软制定的公共互联网文件系统(Common Internet File Systems) 协议，主要用于文件共享（网上邻居）、微软通信协议以及网络打印、资源定位服务、远程管理/监管、网络认证（安全确立服务）和RPC（远程程序调用）等应用服务。

　　CIFS协议会将数据分成多个小型数据块进行发送，需要每个已发数据块都得到确认，致使完成一次交易需要几百甚至几千次的RTT，因此，即使WAN链路时延短至20-30毫秒，也将大幅度减慢网上邻居的访问速度，影响用户满意度并降低生产率。

　　我们以深信服广域网加速技术为例，它的"CIFS协议优化技术"通过对协议交互进行事务预测，减少了协议的交互在广域网中的传输次数，请看下面的示意图：

　　从上图中可以看到通过深信服广域网加速设备对CIFS协议事务的预测，在协议反馈第一个"读取"数据包的时候，本地的加速设备马上开始读取后面的数据，然后通过对数据包进行合并的方式，立刻将后续的数据包发送到客户端的加速设备。在客户端准备进行第二次读取操作的时候，客户端这边的加速设备发现数据已经发送到了本地并且缓存于本地设备的内存中，这样立即就可以将数据包发送给客户端。

　　通过这样的机制，大大减少了小包在广域网中的传输次数，能够大大的提高网上邻居等应用的访问和传输速度。

　　3．数据处理
　　数据压缩：深信服广域网加速技术通过采用基于硬件的GZIP和LZO高速流压缩算法，可以对所有的数据先压缩后传送，大大提高了终端用户在使用Web资源和C/S应用时的访问速度，减少下载时间和网络流量。

　　冗余数据削减：采用VPN接入的用户一般来讲都是商业用户，VPN中传输的数据具有很高的重复度，这些冗余数据大大影响了工作效率。深信服特有的"基于码流特征的数据优化"技术，能够大大降低广域网传输过程中的数据流量，根据实际的测试最多时甚至能够将流量减少95%以上。

　　下面我们就来看一下，"基于码流特征的数据优化"技术是如何神奇的做到这一切的：
　　在广域网中传输的是数据包，就是类似于"010100011"这样的0和1的数字组合排列，"基于码流特征的数据优化"技术能够把数据包拆分成很多"碎片"，并对"碎片"分配唯一指针，将指针分别存储在本地设备和目的地接收设备中，当具有相同指针内容再次需要传输时，只传输指针到目的地，接收设备根据指针便在本地的设备中提取出内容。只要"碎片"足够小，传递内容相同的概率就会足够大。对于同一个用户而言，往往需要频繁传输相同或相似信息，效果非常明显。

　　举一个简单的例子，如对于PPT文件来讲，所有页码中Logo、表头、表尾内容都是相同的，不需要重传，并且对再次更改的PPT，往往只是更改了非常少的内容，再次传送则实际上仅需要传送更改的内容即可。

　　目前很多加速产品采用了文件缓存方式进行加速，即将文件缓存在网关上，用户访问文件的时候实际上是从本地网关取得文件，并没有直接访问远程服务器上的文件，这种方法存在两个比较明显的问题：
　　无法保证文件的实时性，如果服务器上面的文件更新了，可能导致用户访问的还是更新以前的版本。
　　如果服务器上面的文件变化较小，比如一个100MB的ZIP文件中增加了一个1MB打包文件，需要将整个文件重新传输一次。
　　深信服"基于码流特征的数据优化"技术完全可以来替代文件缓存技术，通过优化的模式匹配算法，可以使网络中传输的数据足够小，能够达到和文件缓存相当的加速速度，还能在保证实时性同时对变化较小的文件同样能够起到明显的加速作用。