如何选择VPN II

产品简介 PRODUCT

如何选择VPN II

性能选择：选择什么样的硬件的配置？

在选择硬件VPN产品的时候，应该选择什么样的配置的产品呢？一般硬件VPN产品种类也是十分繁多，如何选择合适的硬件配置，需要考虑产品的哪些能力呢？

1．Internet网络情况

在中国，现在Internet的发展越来越快，象ADSL、光纤，VDSL等等最后一公里接入技术的日渐丰富，可以让越来越多的企业和个人可以高速接入互联网络。

这个高速，相对于我们一般使用的局域网络来说，速度其实还是非常慢的。一般的中国大陆的ADSL接入，是不对称线路，上行速度是1M一下，一般是512K；下行速度是8M一下，一般是1M---2M。对于VPN通讯来说，由于考虑双向通讯，所以通讯带宽只能是二者的最低值，所以选择网络设备的时候，主要考虑对网络接入带宽的处理能力。

选择依据之一：考虑网络接入带宽

2．加密速度是怎么回事
在选择VPN产品的时候，性能上最主要考虑一个加密速度。一个基于标准的IPSEC的VPN，数据在传输的时候需要加密和解密，在这个处理完毕之后才送到Internet上去。所以这个速度上必须考虑硬件的加密速度不能低于连接Internet线路的上行速度。
VPN产品的这个参数是怎么得到的呢？一般的网关性VPN，都使用LAN、WAN方式，这个速度的测试需要在高速稳定的局域网100M的带宽的情况下测试通过加密解密的速度传输，一般测试的时候都是以最慢的3DES、168位加密算法的情况下来得到结果。这个数值和CPU的核心频率、操作系统的核心设计和硬件设计相关。

APN产品的低端产品的加密速度可以做到168位的3DES算法的时候3.5Mbps。而一般在通讯的时候都采用更高效的128位的算法，所以可以做到5Mbps以上，这个速度已经远远高于一般ADSL、cable Modem等常用的连接Internet的上行速度。

目前还没有权威的第三方机构公正评测产品的这方面的性能。所以客户在选择VPN产品的时候，可以让厂家提供相应的测试报告作为参考。

考虑依据二：加密速度大于网络带宽上行速度。

3．网络性能和哪些参数有关？

VPN设备的性能，主要体现在网络性能上面。加密速度只是产品性能的一个方面，其他参数也同样需要充分考虑。例如采用什么样的CPU架构设计、设备的吞吐能力、时延等。一个设计上成熟的产品，一定是充分考虑用户需求，为用户提供一个最佳的性能价格比。

4．CPU架构

目前一般电脑里面使用的CPU，很多都是Intel架构的，一直以来，CPU都有2大阵营：RISC和X86。
X86架构历史悠久，而且产品繁多，目前市面上大多数PC都采用此架构；而RISC架构主要考虑嵌入式应用，在软件开发方面虽然难度比X86要大，但是由于功耗低，供电要求的范围也比一般的X86要大；CPU指令集精简，所以在嵌入式、低功耗、稳定运算方面很有优势。

APNGW产品在200、2000的产品中都采用RISC架构设计。2500以上采用X86设计。所以200、2000具有功耗低、发热小等优势，可以运用于比较恶劣的自然环境中。

结论：选择CPU架构注意不能简单的比较主频大小，需要考虑其性能。一般情况下，同样的性能下，X86的设计在功耗方面肯定比RISC要多，需要考虑其产品的散热系统设计是否合理。

5．吞吐量

吞吐量是测试设备包转发的能力。通常指设备在不丢包条件下每秒转发包的极限。一般可以采用二分发查找该极限点。

吞吐量需要考虑大于用户的实际网络带宽。

APN GW 200的吞吐能力测试结果如图所示，最高达到了6.4Mbps。

图1 APN GW200吞吐能力测试

APN产品中的200吞吐的能力已经完全满足现有绝大多数用户的需求，因为，目前很多用户的Internet接入很少有超过6M。

结论：选择VPN产品的时候，最好让厂家提供设备参数的测试报告。

6．时延（Latency）

时延是测试设备在吞吐量范围内从收到包到转发出该包的时间间隔。时延测试应当重复20次然后去其平均值。

APN产品在测试过程中分别用正常大小的包与接近设备吞吐能力的包来测试时延，来检查设备在正常情况下运转与满负荷运转时的工作性能。

GW200产品测试结果如图4-3所示，最长时延达到了0.005Seconds，最小时延是0.003Seconds，平均时延是0.003Seconds，测试所发的包大小为100bytes。

图2 在100bytes包大小时200时延测试

当我们把包大小改为50000bytes时再进行了一次测试，测试结果如图3所示，最长时延达到了0.065，最小时延为0.064，平均时延为0.064。因为50000bytes大小的包已经是设备的吞吐量的大小，所以设备处理时需要更长的时间来处理。

图3在50000bytes包大小时200时延测试

结论：时延需要能够满足数据传输的要求，测试时候需要考虑平常情况下的数据传输，还是在设备满负荷运转的情况下的数据传输。

7．丢包率（Packet　loss　rate）

丢包率是测试路由器在不同负荷下丢弃包占收到包的比例。不同负荷通常指从吞吐量测试到线速（线路上传输包的最高速率），步长一般使用线速的10%。

APN GW 200丢包率测试
在用WINDOWN PING做测试时分别用以下几种大小的包来测试丢包率：
30000bytes：Ping statistics for 172.31.2.2:
Packets: Sent = 45, Received = 45, Lost = 0 (0% loss),
Approximate round trip times in milli-sec?????ā??/?????ε?瀯??????+?onds:
Minimum = 78ms, Maximum = 125ms, Average = 79ms
35000bytes：Ping statistics for 172.31.2.2:
Packets: Sent = 45, Received = 45, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 78ms, Maximum = 94ms, Average = 78ms

8．背靠背帧数（Back-to-back　frame）

背靠背帧数是测试设备在接收到以最小包间隔传输时不丢包条件下所能处理的最大包数。该测试实际考验设备缓存能力。如果设备具备线速能力（吞吐量=接口媒体线速），则该测试没有意义。

APNGW设备的每个端口都有2KB的缓存（是独立的硬件缓存），每个session也会从内存中划出相应的区域相作为缓存使用。

9．系统恢复时间（System　recovery）

系统恢复时间是测试设备在过载后恢复正常工作的时间。测试方法可以采用向设备端口发送吞吐量110%和线速间的较小值持续60秒后将速率下降到50%的时刻到最后一个丢包的时间间隔。

APNGW 2000系统恢复时间5秒钟左右。

APN GW200系统恢复时间在20秒钟左右。

10．系统复位（Reset）

系统复位是测试设备从软件复位或关电重启到正常工作的时间间隔。正常工作指能以吞吐量转发数据。

APNGW5000系统复位时间1分25秒左右

APNGW2000系统复位时间1分10秒左右

APNGW200系统复位时间在1分35秒左右

11．并发会话数

并发会话连接数指的是网关设备对其业务信息流的处理能力，是能够同时处理的点对点会话连接的最大数目，它反映了设备对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。
简单来说，一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面，并且聊天工具或者网络游戏同时进行着，那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多，需要的会话数就越多。
APNGW设备为用户提供了足够的并发会话能力。GW200支持8192个并发会话，这在一般50人以下的office的日常使用下，完全能够满足要求。

12．总结

结合以上分析和测试数据，APN系列产品完全可以满足目前国内网络情况。即使是低端的GW200产品，其性能已经远远高于目前ADSL的线路性能。

在选择VPN产品的时候，需要保持清醒的思路，对于厂家提供的数据，最好要求提供测试报告。例如部分软件厂家宣传硬件VPN采用低档处理器的宣传策略，需要细心辨别其真伪。