IPSec VPN的測試

1引言

利用IPSecVPN技術(shù)，企業(yè)能夠?qū)nternet作為其通信網(wǎng)絡(luò)基礎(chǔ)的骨干，實(shí)現(xiàn)全球通達(dá)，并大大節(jié)約成本，同時(shí)保持內(nèi)部通信的安全。然而，成功的IPSec產(chǎn)品開發(fā)與實(shí)施面臨嚴(yán)峻的挑戰(zhàn)，即如何確保IPSec協(xié)議的一致性，并在網(wǎng)絡(luò)性能和功能方面管理IPSecVPN的效果。正確的測試方法能夠絕妙地應(yīng)對挑戰(zhàn)，思博倫通信的IPSec一致性與性能測試方法便是一個(gè)例證。

2IPSec一致性測試的重要性

盡管IETF確立IPSec協(xié)議標(biāo)準(zhǔn)已有數(shù)年之久，但是早期的實(shí)施并不完全符合標(biāo)準(zhǔn)，因而無法一致。對IPSecVPN服務(wù)的實(shí)施者來說，這是無法接受的。

從IPSec網(wǎng)關(guān)廠商的角度來看，服務(wù)提供商和網(wǎng)絡(luò)管理員需要IPSec與標(biāo)準(zhǔn)保持一致，他們經(jīng)常自行校驗(yàn)，以確保一致性。在競爭激烈的市場環(huán)境中，廠商無法負(fù)擔(dān)被客戶查證出錯(cuò)誤的后果。除了確保一致性之外，一致性測試不僅能夠確保產(chǎn)品的質(zhì)量，而且還能夠縮短產(chǎn)品的開發(fā)周期，因?yàn)樵陂_發(fā)周期中如果發(fā)現(xiàn)一個(gè)程序錯(cuò)誤或者更正一個(gè)設(shè)計(jì)逆流，都將會(huì)對產(chǎn)品的最終質(zhì)量產(chǎn)生重大影響。

對于服務(wù)提供商和網(wǎng)絡(luò)管理員來說，多廠商環(huán)境是現(xiàn)實(shí)的，如果沒有基于標(biāo)準(zhǔn)的實(shí)施，這種現(xiàn)實(shí)性將無法管理。由于他們還定期升級自己的IPSecVPN，因此確保這些升級不會(huì)打破現(xiàn)有的服務(wù)就變得非常重要。雖然并非所有的一致性要求都是針對IPSec的，但是將IPSec加載到網(wǎng)絡(luò)上增加了一致性測試的復(fù)雜性和必要性。

3可擴(kuò)展性與性能測試的重要性

IPSec要求在發(fā)送數(shù)據(jù)之前先在站點(diǎn)之間或客戶端與網(wǎng)關(guān)之間建立隧道。使用IPSecVPN服務(wù)的用戶或站點(diǎn)數(shù)量可依照網(wǎng)關(guān)所能支持的隧道數(shù)量進(jìn)行擴(kuò)展。隧道所能支持的最大數(shù)，或稱隧道容量，是廠商用以區(qū)別自己的產(chǎn)品與其它同類競爭產(chǎn)品的一個(gè)關(guān)鍵衡量標(biāo)準(zhǔn)。其中一個(gè)常常被忽視的相關(guān)衡量標(biāo)準(zhǔn)就是隧道建立速率(TunnelSetupRate)，或者說是一個(gè)設(shè)備每秒鐘所能建立的隧道數(shù)目。對于擁有眾多站點(diǎn)或用戶的電信公司級大型IPSec網(wǎng)關(guān)來說，隧道容量和隧道建立速率尤其重要。

增強(qiáng)安全就要以犧牲性能為代價(jià)，在IPSec的實(shí)施過程中，安全與性能往往會(huì)顧此失彼。IPSec會(huì)增加延遲和降低吞吐量。在建立隧道之后，IPSec網(wǎng)關(guān)將對輸出的業(yè)務(wù)負(fù)載進(jìn)行加密，并對輸入網(wǎng)絡(luò)的業(yè)務(wù)負(fù)載進(jìn)行解密。加密和解密原本就需要大量的計(jì)算——這也是為什么加密數(shù)據(jù)能夠保證安全的部分原因。然而，計(jì)算的開銷意味著通過IPSec隧道的吞吐量將受到網(wǎng)關(guān)的加密與解密能力的限制。此外，加密與解密還會(huì)大大增加延遲。