VPN多路捆綁應對帶寬挑戰(zhàn)

VPN(虛擬專用網(wǎng)絡(luò))技術(shù)對大型的跨地域企業(yè)內(nèi)部同步使用ERP、MRP等信息化管理系統(tǒng)有著極大的幫助作用和可觀的經(jīng)濟意義，不過受到流量問題的限制，VPN技術(shù)也面臨一個網(wǎng)絡(luò)帶寬“供不應求”的難題，現(xiàn)在很多企業(yè)都是采用ADSL網(wǎng)絡(luò)接入方式，而基于ADSL線路由于技術(shù)本身的限制，單條的上行速率只能達到幾百K，如果是一些數(shù)據(jù)量較大的企業(yè)信息系統(tǒng)，要求信息流是雙向的，上傳和下傳的速度都要快，那么單條ADSL就顯得力不從心了。于是，一種既可以不改動原有ADSL線路，又可以有效提升VPN系統(tǒng)性能的技術(shù)呼之欲出——采用多路捆綁，這種技術(shù)現(xiàn)在在國內(nèi)也已經(jīng)十分成熟。

好處

多線路捆綁技術(shù)不僅可以幫助用戶大幅提升帶寬和網(wǎng)速，還可以增強系統(tǒng)的穩(wěn)定性，方便網(wǎng)絡(luò)的運營維護。在目前大多數(shù)的VPN系統(tǒng)應用中，都是總部的一條線路，需要應對來自幾個甚至幾十個分支機構(gòu)、移動用戶的數(shù)據(jù)量。尤其在類似ADSL的非對稱線路中，上行帶寬本來就較窄，造成總部數(shù)據(jù)量不堪重負。為了解決帶寬不平衡的問題，有些企業(yè)不得不在總部耗費巨資申請高速的專用線路，成本高昂。

VPN支持各種不同方式的線路綁定，用戶可以申請多條動態(tài)IP的ADSL上網(wǎng)線路，也可以申請ADSL及其他寬帶線路甚至無線連接等等。通過多線路防火墻/NAT模塊，還可以實現(xiàn)多條線路共同訪問Internet，成倍地提高了上網(wǎng)的速度。

多線路捆綁的另一個好處就是，如果是單條線路，一旦中斷，整個系統(tǒng)就會陷入癱瘓，VPN系統(tǒng)的穩(wěn)定性非常依賴于線路本身的穩(wěn)定性。通過多線路捆綁技術(shù)，尤其是對不同方式的線路捆綁，在任何一條線路出現(xiàn)故障時，數(shù)據(jù)可以無縫切換到其他正常線路，保證了整個系統(tǒng)的持續(xù)可靠運行。優(yōu)秀的VPN路由還進一步實現(xiàn)了多條Internet線路的QOS管理，并能根據(jù)不同線路的帶寬情況智能分配負載，最大限度地提高帶寬利用率。

問題

從表面上看，多線路捆綁似乎是一種非常理想的技術(shù)，但真正實現(xiàn)起來，還存在不少困難。

數(shù)據(jù)要同時在多條線路上傳輸，如何能保證相同的業(yè)務(wù)數(shù)據(jù)分配到不同線路時，仍然不受影響呢？比如一串視頻數(shù)據(jù)，發(fā)送時通過多條Internet線路，在接收端，傳輸?shù)臄?shù)據(jù)順序必須準確有效，并能還原成發(fā)送前的狀態(tài)。

線路的中斷和恢復也是一個必須解決的問題。一旦一條線路出現(xiàn)故障，所承載的數(shù)據(jù)要立刻無縫切換到其他線路，并保證業(yè)務(wù)不受影響。同樣，線路恢復后，也要能夠在新恢復的線路上建立VPN隧道，并能夠重新調(diào)整負載均衡策略。

由于Internet連接方式也多種多樣，用戶為了進一步增強系統(tǒng)穩(wěn)定性，往往傾向于從不同的運營商處申請線路，就會存在各種不同方式的Internet線路(如ADSL、寬帶、DDN等等)需要能夠?qū)崿F(xiàn)帶寬的捆綁和疊加。

組合

在一個路由器上做多條線路捆綁的方式有多種組合：多條ADSL線路捆綁，多條光纖線路捆綁，光纖和ADSL線路進行捆綁。這種捆綁是一種帶寬相加式的捆綁，而不是線路互相備份。一些產(chǎn)品在參數(shù)上寫著“……可以進行多路捆綁，還支持互相備份……”其實這句話是要分開來看的，因為2條ADSL線路使用多路捆綁模式的時候是不能實現(xiàn)互相備份的，就像兩個硬盤使用RAID0加速的時候不能實現(xiàn)RAID1備份一樣。

從實際應用的角度去分析，兩條線路進行捆綁后，上下行的流量是不可能達到1+1=2的效果的，2條以上的線路也是同樣道理，原因大致如下：

當每一個數(shù)據(jù)包進行傳輸時，它必須先選擇其中一條線路，這個選擇的過程就是路由器進行調(diào)度分配的過程，路由器會按照預先設(shè)定的算法將每一個數(shù)據(jù)包根據(jù)一定的條件(這個條件通常不是固定的)分配到一條線路，這個過程會占用路由器的處理器資源，需要耗費一定的時間，當然耗時是非常短的，但是大量的數(shù)據(jù)包耗費的時間累加起來就比較可觀了，加上現(xiàn)在中低端路由器的處理能力還比較有限，所以這種資源的消耗是不能忽略的。如果你捆綁兩條2M的線路和一條4M的線路做對比，就會發(fā)現(xiàn)捆綁兩條2M線路的速度不會快過那條4M的線路，其中一個重要因素就是路由器上對數(shù)據(jù)包進行調(diào)度而耽誤了數(shù)據(jù)轉(zhuǎn)發(fā)的時間。

RAID0陣列的容量是取決于容量小的那個硬盤，因為數(shù)據(jù)是同時在兩個硬盤上進行讀寫的；而在VPN多路捆綁中也有類似情形——如果兩條線路的帶寬不一樣，也就是一條大些，一條小些，這時情況就比較復雜了。因為如果路由還是按照1：1的比例將數(shù)據(jù)包分別派發(fā)給兩條線路的話，就會造成帶寬大的那條線路發(fā)完時帶寬小的那條還沒發(fā)完，于是帶寬大的線路得等待帶寬小的線路，這樣會造成效率的降低，因此很多支持不對稱多路捆綁的路由器都允許設(shè)置路由器調(diào)度分配的比例，例如接入1條1M的ADSL和1條2M的ADSL時，就可以把這個比例設(shè)成1：2，這樣兩條線的帶寬就可以充分利用起來；當然，由于數(shù)據(jù)分配的比例不會是完美的1：2，而兩條線路的實際流量也不是準確的1：2，因此寬帶資源還是沒有被完全地利用起來，所以最終1M和2M兩條ADSL線路捆綁之后的實際效果依舊小于3M線路的實際效果。

如果兩條線路進行捆綁，在下載時和上傳時得到的帶寬其實是不同的，因為在上傳時你是兩條線路同時傳送數(shù)據(jù)，可以理解為1+1=2；但在下載時，對方并不知道你將線路進行了捆綁，他也無法控制數(shù)據(jù)包往哪條線路上傳送，所以每次對方的數(shù)據(jù)包發(fā)送過來都是由其中一條線路承擔接收任務(wù)，在這種情況下，兩條1M的線路進行捆綁后其實效果大概也是1M，也就是1+1=1，因此，將多路捆綁簡單地理解為帶寬的疊加其實是不對的。

安全

多條線路同時連接時，局域網(wǎng)也同時面臨著多條與Internet連接的通道。這就給各種網(wǎng)絡(luò)攻擊、病毒提供了更多的可乘之機，所以很多VPN路由都是直接結(jié)合了比較專業(yè)的防火墻功能，不但能夠支持多條線路的捆綁上網(wǎng)，還能對帶寬進行智能動態(tài)分配，防護來自多條線路的攻擊。

由于很多VPN網(wǎng)絡(luò)的結(jié)構(gòu)非常龐大，內(nèi)部成員的權(quán)限問題也就非常復雜，因此一些優(yōu)秀的VPN產(chǎn)品可以對各成員接入后的可訪問資源做嚴格而詳細的限定來杜絕這些安全隱患。例如Sinfor的DLAN方案就可以針對每個用戶設(shè)定不同的接入訪問權(quán)限，如某些用戶只能訪問總部的庫存系統(tǒng)，不能訪問財務(wù)系統(tǒng)等，不同的VPN用戶可以設(shè)定對不同資源的訪問權(quán)限，避免因為VPN用戶權(quán)限過大造成的安全隱患。