IPSec VPN的測試

1引言

利用IPSecVPN技術，企業(yè)能夠將Internet作為其通信網(wǎng)絡基礎的骨干，實現(xiàn)全球通達，并大大節(jié)約成本，同時保持內部通信的安全。然而，成功的IPSec產品開發(fā)與實施面臨嚴峻的挑戰(zhàn)，即如何確保IPSec協(xié)議的一致性，并在網(wǎng)絡性能和功能方面管理IPSecVPN的效果。正確的測試方法能夠絕妙地應對挑戰(zhàn)，思博倫通信的IPSec一致性與性能測試方法便是一個例證。

2IPSec一致性測試的重要性

盡管IETF確立IPSec協(xié)議標準已有數(shù)年之久，但是早期的實施并不完全符合標準，因而無法一致。對IPSecVPN服務的實施者來說，這是無法接受的。

從IPSec網(wǎng)關廠商的角度來看，服務提供商和網(wǎng)絡管理員需要IPSec與標準保持一致，他們經(jīng)常自行校驗，以確保一致性。在競爭激烈的市場環(huán)境中，廠商無法負擔被客戶查證出錯誤的后果。除了確保一致性之外，一致性測試不僅能夠確保產品的質量，而且還能夠縮短產品的開發(fā)周期，因為在開發(fā)周期中如果發(fā)現(xiàn)一個程序錯誤或者更正一個設計逆流，都將會對產品的最終質量產生重大影響。

對于服務提供商和網(wǎng)絡管理員來說，多廠商環(huán)境是現(xiàn)實的，如果沒有基于標準的實施，這種現(xiàn)實性將無法管理。由于他們還定期升級自己的IPSecVPN，因此確保這些升級不會打破現(xiàn)有的服務就變得非常重要。雖然并非所有的一致性要求都是針對IPSec的，但是將IPSec加載到網(wǎng)絡上增加了一致性測試的復雜性和必要性。

3可擴展性與性能測試的重要性

IPSec要求在發(fā)送數(shù)據(jù)之前先在站點之間或客戶端與網(wǎng)關之間建立隧道。使用IPSecVPN服務的用戶或站點數(shù)量可依照網(wǎng)關所能支持的隧道數(shù)量進行擴展。隧道所能支持的最大數(shù)，或稱隧道容量，是廠商用以區(qū)別自己的產品與其它同類競爭產品的一個關鍵衡量標準。其中一個常常被忽視的相關衡量標準就是隧道建立速率(TunnelSetupRate)，或者說是一個設備每秒鐘所能建立的隧道數(shù)目。對于擁有眾多站點或用戶的電信公司級大型IPSec網(wǎng)關來說，隧道容量和隧道建立速率尤其重要。

增強安全就要以犧牲性能為代價，在IPSec的實施過程中，安全與性能往往會顧此失彼。IPSec會增加延遲和降低吞吐量。在建立隧道之后，IPSec網(wǎng)關將對輸出的業(yè)務負載進行加密，并對輸入網(wǎng)絡的業(yè)務負載進行解密。加密和解密原本就需要大量的計算——這也是為什么加密數(shù)據(jù)能夠保證安全的部分原因。然而，計算的開銷意味著通過IPSec隧道的吞吐量將受到網(wǎng)關的加密與解密能力的限制。此外，加密與解密還會大大增加延遲。