【正文】 效率較低。比如在訪問 WEB 頁(yè)面的時(shí)候，一個(gè)頁(yè)面中的各個(gè)元素都是由單獨(dú)的 TCP 會(huì)話來進(jìn)行傳輸?shù)?，可能的?huì)話數(shù)達(dá)到幾十個(gè)，每一個(gè)會(huì)話都要處理繁雜的確認(rèn)機(jī)制，在遇到由于延時(shí)或者丟包造成確認(rèn)不成 5 功時(shí)又會(huì)重新發(fā)起會(huì)話，導(dǎo)致頁(yè)面訪問緩慢。 還有在 TCP 協(xié)議傳輸數(shù)據(jù)的時(shí)候，一端到另一端所正在傳輸?shù)臄?shù)據(jù)量還受 數(shù)據(jù)報(bào)窗口的大小限制，當(dāng)該窗口滿了以后，發(fā)送方就無法發(fā)送更多的數(shù)據(jù)，直到接受方確認(rèn)已經(jīng)接收了窗口中的部分?jǐn)?shù)據(jù)。如果數(shù)據(jù)報(bào)窗口太小的話，必然會(huì)影響數(shù)據(jù)傳輸和應(yīng)答的速率，從而影響整個(gè)數(shù)據(jù)鏈路的吞吐能力。如果傳輸兩端的系統(tǒng)能夠很好的對(duì)數(shù)據(jù)窗口大小進(jìn)行協(xié)商的話是可以一定程度上避免出現(xiàn)這種情況的，但是前大部分系統(tǒng)并不能很好的處理廣域網(wǎng)環(huán)境下的數(shù)據(jù)報(bào)協(xié)商機(jī)制。 根據(jù)實(shí)際測(cè)試數(shù)據(jù)顯示，一條 2Mb/s 的 ADSL 線路在最大 64K 字節(jié)窗口情況下，在網(wǎng)絡(luò)延時(shí)小于 40ms 時(shí)，線路能達(dá)到其帶寬允許的最高數(shù)據(jù)吞吐量，但是當(dāng)網(wǎng)絡(luò)延時(shí)逐漸 增大的時(shí)候，線路傳輸效率明顯下降，實(shí)際的吞吐量只能達(dá)到帶寬所允許的最高數(shù)據(jù)吞吐量的 10%以下。 在另外的 100Mb/s 帶寬的線路上面進(jìn)行相同（ 64K 字節(jié)窗口）的測(cè)試，得到的結(jié)果顯示在網(wǎng)絡(luò)延時(shí)大于 40ms 以后， 100Mb/s 帶寬線路的數(shù)據(jù)吞吐量和 2Mb/s 的線路幾乎下降到同樣的水平，所以說在網(wǎng)絡(luò)延時(shí)較大以及 TCP 窗口不合適的時(shí)候 100Mb/s 帶寬線路的數(shù)據(jù)傳輸能力并不比 2Mb/s 帶寬線路的數(shù)據(jù)傳輸能力強(qiáng)多少。 應(yīng)用協(xié)議的處理機(jī)制。 和 TCP 協(xié)議遇到的情況相似，象 WINDOWS 上通過 CIFS 協(xié)議提供的文件共 享服務(wù)以及金蝶等基于 RPC 協(xié)議的 ERP 軟件以及其它的一些應(yīng)用軟件，同樣在遇到網(wǎng)絡(luò)延遲和消息大小限制的時(shí)候，實(shí)際的網(wǎng)絡(luò)傳輸效率是會(huì)隨著延時(shí)的增加而迅速下降的。 以上就是網(wǎng)絡(luò)傳輸所會(huì)遇到的幾個(gè)主要的問題，而解決這些問題并不能靠提高公網(wǎng)帶寬就能解決這些問題，所以我們需要針對(duì)以上問題的解決方法，這 就對(duì) VPN 產(chǎn)品 提出了更高的要求提供 網(wǎng)間加速 功能。 6 2. 總體方案建議 . 網(wǎng)絡(luò)建設(shè)要求 根據(jù)省 衛(wèi)生廳關(guān)于醫(yī)療救治和應(yīng)急指揮系統(tǒng)建設(shè)的要求 ，在建設(shè) xx 省醫(yī)療救治和應(yīng)急指揮系統(tǒng)虛擬專用 網(wǎng)絡(luò)時(shí)必須要達(dá)到以下幾點(diǎn)要求： 安全 性 VPN 產(chǎn)品須能夠保障在數(shù)據(jù)傳輸過程、用戶接入認(rèn)證、內(nèi)網(wǎng)權(quán)限劃分三個(gè)方面的安全性，同時(shí) VPN 網(wǎng)關(guān)的防火墻功能可以有效防止黒客與病毒的入侵。 加速性 由于需要將省衛(wèi)生廳和 14 個(gè)市衛(wèi)生廳的網(wǎng)絡(luò)連接起來，勢(shì)必對(duì)整個(gè)網(wǎng)絡(luò)的出口帶寬提出了更高的要求。同時(shí)在進(jìn)行網(wǎng)絡(luò)帶寬建設(shè)的時(shí)候，必須要考慮到業(yè)務(wù)使用的實(shí)時(shí)性，所以 VPN 網(wǎng)絡(luò)需要提供對(duì)網(wǎng)間數(shù)據(jù)傳輸速度的加速功能，即建設(shè)一個(gè)具有網(wǎng)間加速功能的 VPN網(wǎng)絡(luò)。 穩(wěn)定可靠性 VPN 作為醫(yī)療救治和應(yīng)急指揮系統(tǒng)數(shù)據(jù)的承載系統(tǒng)之一，必須具備 7 24小時(shí)不間斷運(yùn)行的能力，保證整 網(wǎng)的可用性；同時(shí)， VPN 產(chǎn)品必須能提供備份機(jī)制來降低因線路中斷或硬件故障可能帶來的風(fēng)險(xiǎn)。 可管理性 一套集中的管理平臺(tái)可以在一個(gè)地方完成對(duì)數(shù)量眾多的設(shè)備進(jìn)行方便、統(tǒng)一、有效的管理和維護(hù)，將管理員從繁重的維護(hù)工作中解脫出來。 . 選型參考 根據(jù)網(wǎng)絡(luò)建設(shè) 的需求情況來看， 要求在?。?之間采用 網(wǎng)對(duì)網(wǎng)（ Net－ to－ Net）的連接方式組建 VPN 骨干線路，所以 建議采用深信服科技提供的具備網(wǎng)間加速的 VPN 解決方案， 既 能夠滿足目前的需求，同時(shí)可以很好的支持后續(xù)的擴(kuò)展性。 根據(jù)現(xiàn)網(wǎng)實(shí)際的需求，建議在省 衛(wèi)生廳 配置 SINFOR M5400Q 級(jí)別的設(shè)備，在 14 個(gè)市級(jí)配置 SINFOR M5100Q 級(jí)別的設(shè)備。 設(shè)備選型列表如下： 7 序 號(hào) 設(shè) 備 型 號(hào) 部 署 地 點(diǎn) 1 SINFOR M5400Q 省級(jí) 2 SINFOR M5100Q 市級(jí) . 組網(wǎng)方案 在部署 網(wǎng)間加速 VPN 設(shè)備 后 ，整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如下圖所示 ： 說明： 省衛(wèi)生廳和省政府之間采用 2M 專線進(jìn)行連接。 省政府和 14 個(gè)市的政府信息網(wǎng)之間采用 154MSDH 專線進(jìn)行連接，各個(gè)市的衛(wèi)生局通過本市的政府信息網(wǎng)接入到省政府網(wǎng)絡(luò)。 在 省衛(wèi)生廳 部署一臺(tái) M5400－ Q， 接受 14 個(gè)市 衛(wèi)生局 IPSec VPN 接入。 在 14 個(gè)市 衛(wèi)生局 各部署一臺(tái) M5100－ Q，采用 IPSec VPN 接入 省衛(wèi)生廳 。 所有部署了 M5400－ Q 和 M5100－ Q 設(shè)備的網(wǎng)絡(luò)均可以提供 網(wǎng)間加速功能 。 8 3. 整體方案 技術(shù)特點(diǎn) . 安全的 VPN 體系 . 基于安全的 IPSEC 協(xié)議 SINFOR VPN 網(wǎng)關(guān) 遵循的是 IPSEC 協(xié)議， IPSEC 是目前最為安全 VPN 協(xié)議。通過 IPSEC 在Inter 上建立安全可信的隧道，各實(shí)體之間的數(shù)據(jù)都是通過安全隧道傳遞 。 局域網(wǎng)內(nèi)原始 IP 的 IP 頭包含本局域網(wǎng)信息。經(jīng)加密后，多個(gè)原始 IP 成為 隧道 IP 的負(fù)載，隧道封裝的 IP 頭為隧道兩端的 InterIP,這樣就保護(hù)了內(nèi)部網(wǎng)絡(luò)信息，而且原始 IP 的數(shù)據(jù)已被加密成為負(fù)載，防止了內(nèi)容泄漏。同時(shí)添加 ESP、 AH 幀頭標(biāo)志，用于識(shí)別正確的隧道封裝 IP，防止內(nèi)容被篡改，支持 MD5 算法。加密使用 AES128 位加密算法，該加密算法是美國(guó)國(guó)防部采用的標(biāo)準(zhǔn)，比同等級(jí)別的 3DES 快 3 倍。 . 完備的接入鑒權(quán)機(jī)制和硬件綁定的 CA認(rèn)證機(jī)制 SINFOR VPN 網(wǎng)關(guān) 內(nèi)置 RADIUS 服務(wù)，完成對(duì)接入分支、移動(dòng)的用戶名，密碼認(rèn)證。 RADIUS認(rèn)證過程采用挑戰(zhàn)―應(yīng)答模式，在這種認(rèn)證模 式下，認(rèn)證信息不在網(wǎng)絡(luò)上傳遞，而且挑戰(zhàn)不同的分支或移動(dòng)答復(fù)也不同，保證認(rèn)證信息不會(huì)被竊聽。 但是 用戶名和密碼或者傳統(tǒng)的 CA 證書認(rèn)證方式都存在證書或密碼被盜用的問題 ， 為避免傳統(tǒng)方案的泄密缺陷， SINFOR VPN 網(wǎng)關(guān) 中使用了深信服公司的專利技術(shù)－基于 PC 硬件特征的證書認(rèn)證系統(tǒng)（ HARDCA）來實(shí)現(xiàn)基于硬件的認(rèn)證。通過該認(rèn)證方法，只有指定的機(jī)器才能接入。HARDCA 認(rèn)證方式示意圖如下： 9 其過程描述如下： 由分支模式或移動(dòng)用戶運(yùn)行鑒權(quán)程序，該程序收集計(jì)算 機(jī)的硬件信息，產(chǎn)生同分支或移動(dòng)對(duì)應(yīng)的一個(gè)唯一的 ID 文件（ HARDID），由總部模式管理員將此 HARDID 輸入到總部模式的鑒權(quán)管理庫(kù)里 (IDBASE)。 總部在同分支建立數(shù)據(jù)隧道前，先要在命令通道進(jìn)行 HARDCA 認(rèn)證，經(jīng)過命令通道HARDID 認(rèn)證的分支或移動(dòng)，才允許建立數(shù)據(jù)隧道。認(rèn)證的流程遵循 RADIUS 認(rèn)證過程。 . 集成 USB Key 的硬件身份識(shí)別功能 采用 USB Key 技術(shù)可以保證 VPN 移動(dòng)用戶的身份不被盜用。每個(gè)用戶隨身攜帶標(biāo)識(shí)自己身份的 Dkey(一種類似 U 盤的 USB 鑰匙 )，在任何一臺(tái) PC 上，插入 Dkey，輸入自己的私人密碼后就可以完成接入，類似銀行取款卡，簡(jiǎn)單而安全。 . 更細(xì)致的權(quán)限粒度 在 VPN 網(wǎng)絡(luò)中還存在一些潛在的安全隱患，比如分支的用戶可以接入總部訪問所有資源；黑客可以入侵分支，然后通過 VPN 入侵到總部，非法獲得商業(yè)機(jī)密；病毒可以通過 VPN 隧道在企業(yè)的各個(gè)網(wǎng)絡(luò)傳播。這些都是 VPN 網(wǎng)絡(luò)中可能存在的種種安全陷阱。 如果能夠有效限制每個(gè)VPN 用戶在 VPN 網(wǎng)絡(luò)內(nèi)的訪問范圍和訪問權(quán)限，就能最大限度的降低這種風(fēng)險(xiǎn)。 但目前大多數(shù) VPN 產(chǎn)品都沒有一種簡(jiǎn)單的機(jī)制來保證 VPN 的內(nèi)網(wǎng)安全， Sinfor VPN 網(wǎng)關(guān)采用 VPN 權(quán)限粒度分析技術(shù)，可以簡(jiǎn)單靈活的指定每個(gè) VPN 用戶的具體權(quán)限，可以細(xì)致到端口級(jí)別的權(quán)限 ， 通過這項(xiàng)技術(shù)可以使得指定的資源只有授權(quán)的用戶才能訪問。 總部 分支 /移動(dòng) 產(chǎn)生（ keyA , KeyB） 請(qǐng)求鑒權(quán) KeyA 用 keyA 對(duì)認(rèn)證信息進(jìn)行加密 密文 用 KeyB 對(duì)密文解密得到認(rèn)證信息 鑒權(quán)結(jié)果 10 如下圖中，就可以通過 VPN 權(quán)限粒度保證高級(jí)權(quán)限的用戶能訪問總部的所有服務(wù)器，而普通權(quán)限的用戶則只能訪問 OA 服務(wù)器，通過限制 VPN 用戶只能訪問服務(wù)器開放的服務(wù)端口，還可以限制病毒通過一些不安全的端口（如 RPC）跨網(wǎng)傳播。 . 加速的 VPN 體系 Sinfor VPN 網(wǎng)關(guān)針對(duì)公網(wǎng)數(shù)據(jù)傳輸存在的問題，提供了網(wǎng)間加速功能，主要有以下的功能： . TCP 協(xié)議代理加速技術(shù) 網(wǎng)絡(luò) 時(shí) 延造成的響應(yīng)時(shí)間減慢 很大程度上 是 TCP 協(xié)議等待確認(rèn)的結(jié)果 ，這個(gè)問題 最簡(jiǎn)便的解決方法是讓攔截設(shè)備監(jiān)聽 TCP ACK消息，并管理廣域網(wǎng)上的信息傳輸。這樣，最終主機(jī)便認(rèn)為遠(yuǎn)程端與它并排位于局域網(wǎng)上，從而能夠以更快的速度與加速平臺(tái)互動(dòng)。 . 數(shù)據(jù)流 cache 加速技術(shù) 在廣域網(wǎng)中傳輸?shù)氖菙?shù)據(jù)包， 數(shù)據(jù)流 cache 加速 技術(shù)是把數(shù)據(jù)包拆分成很多碎片，并對(duì)碎片分配唯一指針，將指針分別存儲(chǔ)在本地設(shè)備和目的地接收設(shè)備中，當(dāng)具有相同指針內(nèi)容再次需要傳輸時(shí)，只傳輸指針到目的地，接收設(shè)備根據(jù)指針便在本地的設(shè)備中提取出內(nèi)容。只要碎片足夠小， 傳遞內(nèi)容相同的概率就會(huì)足夠大。對(duì)于同一個(gè)用戶而言，往往需要頻繁傳輸相同或相似信息，效果非常明顯。 舉一個(gè)簡(jiǎn)單的例子，如對(duì)于 PPT 文件來講，所有頁(yè)碼中 Logo、表頭、表尾內(nèi)容都是相同的，不需要重傳，并且對(duì)再次更改的 PPT，往往只是更改了非常少的內(nèi)容，再次傳送則實(shí)際上僅需要傳送更改的內(nèi)容即可。 目前很多加速產(chǎn)品采用了文件緩存方式進(jìn)行加速，即將文件緩存在網(wǎng)關(guān)上，用戶訪問文件的高級(jí)權(quán)限 普通權(quán)限 病毒 財(cái)務(wù)服務(wù)器 OA 服務(wù)器 11 時(shí)候?qū)嶋H上是從本地網(wǎng)關(guān)取得文件，并沒有直接訪問遠(yuǎn)程服務(wù)器上的文件，這種方法存在兩個(gè)比較明顯的問題： ? 無法保證文件的實(shí)時(shí)性，如果服務(wù)器上面的文 件更新了，可能導(dǎo)致用戶訪問的還是更新以前的版本。 ? 如果服務(wù)器上面的文件變化較小，比如一個(gè) 100MB 的 ZIP 文件中增加了一個(gè) 1MB 打包文件，需要將整個(gè)文件重新傳輸一次。 SINFOR 加速網(wǎng)關(guān)采用數(shù)據(jù)流 cache 加速技術(shù)來替代文件緩存技術(shù)，通過優(yōu)化的模式匹配算法，可以使網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)足夠小，能夠達(dá)到和文件緩存相當(dāng)?shù)募铀偎俣?，還能在保證實(shí)時(shí)性同時(shí)對(duì)變化較小的文件同樣能夠起到加速作用。 . 應(yīng)用協(xié)議加速技術(shù) 很 多軟件應(yīng) 用在設(shè)計(jì) 時(shí)并沒 有考慮廣 域網(wǎng)的 特殊環(huán)境 ，比如微 軟的 CIFS 和Exchange/Outlook(MAPI)等，大量的使用小包及在應(yīng)用層面存在過多的 Request/Response交互，這種設(shè)計(jì)在局域網(wǎng)中運(yùn)行很順暢，但在廣域網(wǎng)這種延時(shí)巨大的環(huán)境中 (由于地理距離，跨越多個(gè)路由設(shè)備以及運(yùn)營(yíng)商之間的路由策略造成 )會(huì)造成帶寬使用率低下的結(jié)果，并且由于這些Request/Response 交互發(fā)生在應(yīng)用層面，一般的 TCP 加速和 Qos 手段都無能為力， SINFOR加速網(wǎng)關(guān)就是提供針對(duì)應(yīng)用協(xié)議進(jìn)行優(yōu)化來的技術(shù)來提高應(yīng)用軟件網(wǎng)絡(luò)傳輸效率。 . 高強(qiáng)度的壓縮技術(shù) SINFOR 加速安全網(wǎng)關(guān)采用了基于硬件的 GZIP 和 LZO 高速流壓縮算法，可 以對(duì)所有的數(shù)據(jù)先壓縮后傳送，大大提高了終端用戶在使用 Web 資源和 C/S 應(yīng)用時(shí) 的訪問速度 ， 減少下載時(shí)間和網(wǎng)絡(luò) 流量 。 . B/S 應(yīng)用加速功能 如果一個(gè)基于 B/S 構(gòu)架的 WEB 業(yè)務(wù)系統(tǒng)中，遠(yuǎn)程訪問用戶打開一個(gè)簡(jiǎn)單的頁(yè)面需要一分鐘以上甚至更多的時(shí)間，這樣必然會(huì)造成工作效率的下降。 同時(shí)從用戶角度來看， WEB 服務(wù)通常只有“快”和“慢”之分，用戶往往并不要求實(shí)現(xiàn)大容量數(shù)據(jù)傳輸，而是希望網(wǎng)站在保證性能的同時(shí)，能夠提供更快的訪問速度，所以 WEB