IPSec VPN的測(cè)試
1引言
利用IPSecVPN技術(shù),企業(yè)能夠?qū)nternet作為其通信網(wǎng)絡(luò)基礎(chǔ)的骨干,實(shí)現(xiàn)全球通達(dá),并大大節(jié)約成本,同時(shí)保持內(nèi)部通信的安全。然而,成功的IPSec產(chǎn)品開(kāi)發(fā)與實(shí)施面臨嚴(yán)峻的挑戰(zhàn),即如何確保IPSec協(xié)議的一致性,并在網(wǎng)絡(luò)性能和功能方面管理IPSecVPN的效果。正確的測(cè)試方法能夠絕妙地應(yīng)對(duì)挑戰(zhàn),思博倫通信的IPSec一致性與性能測(cè)試方法便是一個(gè)例證。
2IPSec一致性測(cè)試的重要性
盡管IETF確立IPSec協(xié)議標(biāo)準(zhǔn)已有數(shù)年之久,但是早期的實(shí)施并不完全符合標(biāo)準(zhǔn),因而無(wú)法一致。對(duì)IPSecVPN服務(wù)的實(shí)施者來(lái)說(shuō),這是無(wú)法接受的。
從IPSec網(wǎng)關(guān)廠商的角度來(lái)看,服務(wù)提供商和網(wǎng)絡(luò)管理員需要IPSec與標(biāo)準(zhǔn)保持一致,他們經(jīng)常自行校驗(yàn),以確保一致性。在競(jìng)爭(zhēng)激烈的市場(chǎng)環(huán)境中,廠商無(wú)法負(fù)擔(dān)被客戶(hù)查證出錯(cuò)誤的后果。除了確保一致性之外,一致性測(cè)試不僅能夠確保產(chǎn)品的質(zhì)量,而且還能夠縮短產(chǎn)品的開(kāi)發(fā)周期,因?yàn)樵陂_(kāi)發(fā)周期中如果發(fā)現(xiàn)一個(gè)程序錯(cuò)誤或者更正一個(gè)設(shè)計(jì)逆流,都將會(huì)對(duì)產(chǎn)品的最終質(zhì)量產(chǎn)生重大影響。
對(duì)于服務(wù)提供商和網(wǎng)絡(luò)管理員來(lái)說(shuō),多廠商環(huán)境是現(xiàn)實(shí)的,如果沒(méi)有基于標(biāo)準(zhǔn)的實(shí)施,這種現(xiàn)實(shí)性將無(wú)法管理。由于他們還定期升級(jí)自己的IPSecVPN,因此確保這些升級(jí)不會(huì)打破現(xiàn)有的服務(wù)就變得非常重要。雖然并非所有的一致性要求都是針對(duì)IPSec的,但是將IPSec加載到網(wǎng)絡(luò)上增加了一致性測(cè)試的復(fù)雜性和必要性。
3可擴(kuò)展性與性能測(cè)試的重要性
IPSec要求在發(fā)送數(shù)據(jù)之前先在站點(diǎn)之間或客戶(hù)端與網(wǎng)關(guān)之間建立隧道。使用IPSecVPN服務(wù)的用戶(hù)或站點(diǎn)數(shù)量可依照網(wǎng)關(guān)所能支持的隧道數(shù)量進(jìn)行擴(kuò)展。隧道所能支持的最大數(shù),或稱(chēng)隧道容量,是廠商用以區(qū)別自己的產(chǎn)品與其它同類(lèi)競(jìng)爭(zhēng)產(chǎn)品的一個(gè)關(guān)鍵衡量標(biāo)準(zhǔn)。其中一個(gè)常常被忽視的相關(guān)衡量標(biāo)準(zhǔn)就是隧道建立速率(TunnelSetupRate),或者說(shuō)是一個(gè)設(shè)備每秒鐘所能建立的隧道數(shù)目。對(duì)于擁有眾多站點(diǎn)或用戶(hù)的電信公司級(jí)大型IPSec網(wǎng)關(guān)來(lái)說(shuō),隧道容量和隧道建立速率尤其重要。
增強(qiáng)安全就要以犧牲性能為代價(jià),在IPSec的實(shí)施過(guò)程中,安全與性能往往會(huì)顧此失彼。IPSec會(huì)增加延遲和降低吞吐量。在建立隧道之后,IPSec網(wǎng)關(guān)將對(duì)輸出的業(yè)務(wù)負(fù)載進(jìn)行加密,并對(duì)輸入網(wǎng)絡(luò)的業(yè)務(wù)負(fù)載進(jìn)行解密。加密和解密原本就需要大量的計(jì)算——這也是為什么加密數(shù)據(jù)能夠保證安全的部分原因。然而,計(jì)算的開(kāi)銷(xiāo)意味著通過(guò)IPSec隧道的吞吐量將受到網(wǎng)關(guān)的加密與解密能力的限制。此外,加密與解密還會(huì)大大增加延遲。