2.3 VPN性能与部署

2.3.1 VPN关键性能指标

不同性能的VPN设备，需要与所接入的网络相适应，同时权威测评机构（如中国信息安全产品测评认证中心等）在对VPN产品进行最大新建连接速率、最大并发连接数、VPN吞吐量、最大并发用户数、传输时延，在进行上述测试时会搭建独立的测试用环境，并且一般使用专用硬件进行测试，如Smartbits等设备。以下对这几个常见指标进行说明。

1.最大新建连接速率

最大新建连接速率是指用户端访问VPN设备时最大允许同时新建连接的速度，VPN这个值越大说明VPN性能越好。

2.最大并发连接数

最大并发连接数是衡量VPN性能的一个重要指标。在IETF RFC2647中给出了最大并发连接数（Concurrent Connections）的定义，是指穿越VPN的主机之间或主机与VPN之间能同时建立的最大连接数。最大并发连接数表示VPN（或其他设备）对其业务信息流的处理能力，反映出VPN对多个连接的访问控制能力和连接状态跟踪能力，这个参数直接影响到VPN所能支持的最大信息点数。

3.VPN吞吐量

网络中的数据是由一个个数据帧组成的，VPN对每个数据帧的处理都要耗费资源。吞吐量就是指在没有数据帧丢失的情况下，VPN能够接受并转发的最大速率。IETF RFC1242中对吞吐量做了标准的定义：“The Maximum Rate at Which None of the Offered Frames are Dropped by the Device”，明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。吞吐量的大小主要由VPN内网卡及程序算法的效率决定，尤其是程序算法，会使VPN系统进行大量运算，通信量大打折扣。很明显，同档次VPN这个值越大说明VPN性能越好。

4.最大并发用户数

最大并发用户数是指用户端访问VPN设备时最大同时连接的IP数量，VPN这个值越大说明VPN性能越好。

5.传输时延

网络的应用种类非常复杂，许多应用对时延非常敏感（如音频、视频等），而网络中加入VPN设备（也包括其他设备）必然会增加传输时延，所以较低的时延对VPN来说是不可或缺的。测试时延是指测试仪发送端口发出数据包经过VPN后到接收端口收到该数据包的时间间隔，时延有存储转发时延和直通转发时延两种。

除上述指标外，在部分测试中还会进行背靠背缓冲等数据测评，并且随着VPN技术的不断发展，更多的测评项也会随之不断增加进来，以分析VPN各个应用方面的实际性能。

2.3.2 VPN部署方式

1.网关接入模式

网关（Gateway）又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言的，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目标系统的需求。同时，网关也可以提供过滤和安全功能。大多数网关运行在OSI 7层协议的顶层—应用层。图2-18是网关接入模式示意图。

天融信VPN安全网关是将两个使用不同协议的网络段连接在一起的设备。它的作用就是对两个网络段中使用传输协议的数据进行互相的翻译转换。VPN安全网关具备以下特点：

（1）可扩展性高。

（2）能够多协议支持，对SMTP、HTTP、FTP和POP3通信进行加密，对网络和用户实行应有的保护功能。

（3）能透明的联机扫描，保存诸如源IP和MAC地址等信息。透明扫描选项在易于安装的同时，还可以对内部Web服务器进行保护。

（4）能够进行内容管理，防止用户接收或发送带有某种类型附件、容量过大或带有过多、过大附件的邮件。

（5）能满足不同通信协议的网络互连，使文件可以在这些网络之间传输，阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能，需要VPN完成或由VPN与相关产品协同完成。

2.旁路接入模式

旁路接入模式即透明模式（Transparent），即用户意识不到VPN的存在。要想实现透明模式，VPN必须在没有IP地址的情况下工作，只需要对其设置管理IP地址，添加默认网关地址。

VPN作为实际存在的物理设备，其本身也可以起到路由的作用，所以在为用户安装VPN时，就需要考虑如何改动其原有的网络拓扑结构或修改连接VPN的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。但如果VPN采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，VPN就可以直接安装和放置到网络中使用。在采用透明方式部署VPN后的网络结构不需要做任何调整，即使需要把VPN去掉，网络依然可以很方便地连通，不需要调整网络上的交换及路由。如图2-19所示为以透明方式部署VPN后的一个网络结构。