VPN(虛擬專用網(wǎng)絡(luò))技術(shù)對(duì)大型的跨地域企業(yè)內(nèi)部同步使用ERP、MRP等信息化管理系統(tǒng)有著極大的幫助作用和可觀的經(jīng)濟(jì)意義,不過受到流量問題的限制,VPN技術(shù)也面臨一個(gè)網(wǎng)絡(luò)帶寬“供不應(yīng)求”的難題,現(xiàn)在很多企業(yè)都是采用ADSL網(wǎng)絡(luò)接入方式,而基于ADSL線路由于技術(shù)本身的限制,單條的上行速率只能達(dá)到幾百K,如果是一些數(shù)據(jù)量較大的企業(yè)信息系統(tǒng),要求信息流是雙向的,上傳和下傳的速度都要快,那么單條ADSL就顯得力不從心了。于是,一種既可以不改動(dòng)原有ADSL線路,又可以有效提升VPN系統(tǒng)性能的技術(shù)呼之欲出——采用多路捆綁,這種技術(shù)現(xiàn)在在國(guó)內(nèi)也已經(jīng)十分成熟。
好處
多線路捆綁技術(shù)不僅可以幫助用戶大幅提升帶寬和網(wǎng)速,還可以增強(qiáng)系統(tǒng)的穩(wěn)定性,方便網(wǎng)絡(luò)的運(yùn)營(yíng)維護(hù)。在目前大多數(shù)的VPN系統(tǒng)應(yīng)用中,都是總部的一條線路,需要應(yīng)對(duì)來自幾個(gè)甚至幾十個(gè)分支機(jī)構(gòu)、移動(dòng)用戶的數(shù)據(jù)量。尤其在類似ADSL的非對(duì)稱線路中,上行帶寬本來就較窄,造成總部數(shù)據(jù)量不堪重負(fù)。為了解決帶寬不平衡的問題,有些企業(yè)不得不在總部耗費(fèi)巨資申請(qǐng)高速的專用線路,成本高昂。
VPN支持各種不同方式的線路綁定,用戶可以申請(qǐng)多條動(dòng)態(tài)IP的ADSL上網(wǎng)線路,也可以申請(qǐng)ADSL及其他寬帶線路甚至無線連接等等。通過多線路防火墻/NAT模塊,還可以實(shí)現(xiàn)多條線路共同訪問Internet,成倍地提高了上網(wǎng)的速度。
多線路捆綁的另一個(gè)好處就是,如果是單條線路,一旦中斷,整個(gè)系統(tǒng)就會(huì)陷入癱瘓,VPN系統(tǒng)的穩(wěn)定性非常依賴于線路本身的穩(wěn)定性。通過多線路捆綁技術(shù),尤其是對(duì)不同方式的線路捆綁,在任何一條線路出現(xiàn)故障時(shí),數(shù)據(jù)可以無縫切換到其他正常線路,保證了整個(gè)系統(tǒng)的持續(xù)可靠運(yùn)行。優(yōu)秀的VPN路由還進(jìn)一步實(shí)現(xiàn)了多條Internet線路的QOS管理,并能根據(jù)不同線路的帶寬情況智能分配負(fù)載,最大限度地提高帶寬利用率。
問題
從表面上看,多線路捆綁似乎是一種非常理想的技術(shù),但真正實(shí)現(xiàn)起來,還存在不少困難。
數(shù)據(jù)要同時(shí)在多條線路上傳輸,如何能保證相同的業(yè)務(wù)數(shù)據(jù)分配到不同線路時(shí),仍然不受影響呢?比如一串視頻數(shù)據(jù),發(fā)送時(shí)通過多條Internet線路,在接收端,傳輸?shù)臄?shù)據(jù)順序必須準(zhǔn)確有效,并能還原成發(fā)送前的狀態(tài)。
線路的中斷和恢復(fù)也是一個(gè)必須解決的問題。一旦一條線路出現(xiàn)故障,所承載的數(shù)據(jù)要立刻無縫切換到其他線路,并保證業(yè)務(wù)不受影響。同樣,線路恢復(fù)后,也要能夠在新恢復(fù)的線路上建立VPN隧道,并能夠重新調(diào)整負(fù)載均衡策略。
由于Internet連接方式也多種多樣,用戶為了進(jìn)一步增強(qiáng)系統(tǒng)穩(wěn)定性,往往傾向于從不同的運(yùn)營(yíng)商處申請(qǐng)線路,就會(huì)存在各種不同方式的Internet線路(如ADSL、寬帶、DDN等等)需要能夠?qū)崿F(xiàn)帶寬的捆綁和疊加。
組合
在一個(gè)路由器上做多條線路捆綁的方式有多種組合:多條ADSL線路捆綁,多條光纖線路捆綁,光纖和ADSL線路進(jìn)行捆綁。這種捆綁是一種帶寬相加式的捆綁,而不是線路互相備份。一些產(chǎn)品在參數(shù)上寫著“……可以進(jìn)行多路捆綁,還支持互相備份……”其實(shí)這句話是要分開來看的,因?yàn)?條ADSL線路使用多路捆綁模式的時(shí)候是不能實(shí)現(xiàn)互相備份的,就像兩個(gè)硬盤使用RAID0加速的時(shí)候不能實(shí)現(xiàn)RAID1備份一樣。
從實(shí)際應(yīng)用的角度去分析,兩條線路進(jìn)行捆綁后,上下行的流量是不可能達(dá)到1+1=2的效果的,2條以上的線路也是同樣道理,原因大致如下:
當(dāng)每一個(gè)數(shù)據(jù)包進(jìn)行傳輸時(shí),它必須先選擇其中一條線路,這個(gè)選擇的過程就是路由器進(jìn)行調(diào)度分配的過程,路由器會(huì)按照預(yù)先設(shè)定的算法將每一個(gè)數(shù)據(jù)包根據(jù)一定的條件(這個(gè)條件通常不是固定的)分配到一條線路,這個(gè)過程會(huì)占用路由器的處理器資源,需要耗費(fèi)一定的時(shí)間,當(dāng)然耗時(shí)是非常短的,但是大量的數(shù)據(jù)包耗費(fèi)的時(shí)間累加起來就比較可觀了,加上現(xiàn)在中低端路由器的處理能力還比較有限,所以這種資源的消耗是不能忽略的。如果你捆綁兩條2M的線路和一條4M的線路做對(duì)比,就會(huì)發(fā)現(xiàn)捆綁兩條2M線路的速度不會(huì)快過那條4M的線路,其中一個(gè)重要因素就是路由器上對(duì)數(shù)據(jù)包進(jìn)行調(diào)度而耽誤了數(shù)據(jù)轉(zhuǎn)發(fā)的時(shí)間。
RAID0陣列的容量是取決于容量小的那個(gè)硬盤,因?yàn)閿?shù)據(jù)是同時(shí)在兩個(gè)硬盤上進(jìn)行讀寫的;而在VPN多路捆綁中也有類似情形——如果兩條線路的帶寬不一樣,也就是一條大些,一條小些,這時(shí)情況就比較復(fù)雜了。因?yàn)槿绻酚蛇是按照1:1的比例將數(shù)據(jù)包分別派發(fā)給兩條線路的話,就會(huì)造成帶寬大的那條線路發(fā)完時(shí)帶寬小的那條還沒發(fā)完,于是帶寬大的線路得等待帶寬小的線路,這樣會(huì)造成效率的降低,因此很多支持不對(duì)稱多路捆綁的路由器都允許設(shè)置路由器調(diào)度分配的比例,例如接入1條1M的ADSL和1條2M的ADSL時(shí),就可以把這個(gè)比例設(shè)成1:2,這樣兩條線的帶寬就可以充分利用起來;當(dāng)然,由于數(shù)據(jù)分配的比例不會(huì)是完美的1:2,而兩條線路的實(shí)際流量也不是準(zhǔn)確的1:2,因此寬帶資源還是沒有被完全地利用起來,所以最終1M和2M兩條ADSL線路捆綁之后的實(shí)際效果依舊小于3M線路的實(shí)際效果。
如果兩條線路進(jìn)行捆綁,在下載時(shí)和上傳時(shí)得到的帶寬其實(shí)是不同的,因?yàn)樵谏蟼鲿r(shí)你是兩條線路同時(shí)傳送數(shù)據(jù),可以理解為1+1=2;但在下載時(shí),對(duì)方并不知道你將線路進(jìn)行了捆綁,他也無法控制數(shù)據(jù)包往哪條線路上傳送,所以每次對(duì)方的數(shù)據(jù)包發(fā)送過來都是由其中一條線路承擔(dān)接收任務(wù),在這種情況下,兩條1M的線路進(jìn)行捆綁后其實(shí)效果大概也是1M,也就是1+1=1,因此,將多路捆綁簡(jiǎn)單地理解為帶寬的疊加其實(shí)是不對(duì)的。
安全
多條線路同時(shí)連接時(shí),局域網(wǎng)也同時(shí)面臨著多條與Internet連接的通道。這就給各種網(wǎng)絡(luò)攻擊、病毒提供了更多的可乘之機(jī),所以很多VPN路由都是直接結(jié)合了比較專業(yè)的防火墻功能,不但能夠支持多條線路的捆綁上網(wǎng),還能對(duì)帶寬進(jìn)行智能動(dòng)態(tài)分配,防護(hù)來自多條線路的攻擊。
由于很多VPN網(wǎng)絡(luò)的結(jié)構(gòu)非常龐大,內(nèi)部成員的權(quán)限問題也就非常復(fù)雜,因此一些優(yōu)秀的VPN產(chǎn)品可以對(duì)各成員接入后的可訪問資源做嚴(yán)格而詳細(xì)的限定來杜絕這些安全隱患。例如Sinfor的DLAN方案就可以針對(duì)每個(gè)用戶設(shè)定不同的接入訪問權(quán)限,如某些用戶只能訪問總部的庫存系統(tǒng),不能訪問財(cái)務(wù)系統(tǒng)等,不同的VPN用戶可以設(shè)定對(duì)不同資源的訪問權(quán)限,避免因?yàn)閂PN用戶權(quán)限過大造成的安全隱患。