【正文】 效率較低。比如在訪問 WEB 頁面的時候，一個頁面中的各個元素都是由單獨的 TCP 會話來進行傳輸?shù)?，可能的會話?shù)達到幾十個，每一個會話都要處理繁雜的確認機制，在遇到由于延時或者丟包造成確認不成 5 功時又會重新發(fā)起會話，導致頁面訪問緩慢。 還有在 TCP 協(xié)議傳輸數(shù)據(jù)的時候，一端到另一端所正在傳輸?shù)臄?shù)據(jù)量還受 數(shù)據(jù)報窗口的大小限制，當該窗口滿了以后，發(fā)送方就無法發(fā)送更多的數(shù)據(jù)，直到接受方確認已經(jīng)接收了窗口中的部分數(shù)據(jù)。如果數(shù)據(jù)報窗口太小的話，必然會影響數(shù)據(jù)傳輸和應答的速率，從而影響整個數(shù)據(jù)鏈路的吞吐能力。如果傳輸兩端的系統(tǒng)能夠很好的對數(shù)據(jù)窗口大小進行協(xié)商的話是可以一定程度上避免出現(xiàn)這種情況的，但是前大部分系統(tǒng)并不能很好的處理廣域網(wǎng)環(huán)境下的數(shù)據(jù)報協(xié)商機制。 根據(jù)實際測試數(shù)據(jù)顯示，一條 2Mb/s 的 ADSL 線路在最大 64K 字節(jié)窗口情況下，在網(wǎng)絡延時小于 40ms 時，線路能達到其帶寬允許的最高數(shù)據(jù)吞吐量，但是當網(wǎng)絡延時逐漸 增大的時候，線路傳輸效率明顯下降，實際的吞吐量只能達到帶寬所允許的最高數(shù)據(jù)吞吐量的 10%以下。 在另外的 100Mb/s 帶寬的線路上面進行相同（ 64K 字節(jié)窗口）的測試，得到的結(jié)果顯示在網(wǎng)絡延時大于 40ms 以后， 100Mb/s 帶寬線路的數(shù)據(jù)吞吐量和 2Mb/s 的線路幾乎下降到同樣的水平，所以說在網(wǎng)絡延時較大以及 TCP 窗口不合適的時候 100Mb/s 帶寬線路的數(shù)據(jù)傳輸能力并不比 2Mb/s 帶寬線路的數(shù)據(jù)傳輸能力強多少。 應用協(xié)議的處理機制。 和 TCP 協(xié)議遇到的情況相似，象 WINDOWS 上通過 CIFS 協(xié)議提供的文件共 享服務以及金蝶等基于 RPC 協(xié)議的 ERP 軟件以及其它的一些應用軟件，同樣在遇到網(wǎng)絡延遲和消息大小限制的時候，實際的網(wǎng)絡傳輸效率是會隨著延時的增加而迅速下降的。 以上就是網(wǎng)絡傳輸所會遇到的幾個主要的問題，而解決這些問題并不能靠提高公網(wǎng)帶寬就能解決這些問題，所以我們需要針對以上問題的解決方法，這 就對 VPN 產(chǎn)品 提出了更高的要求提供 網(wǎng)間加速 功能。 6 2. 總體方案建議 . 網(wǎng)絡建設要求 根據(jù)省 衛(wèi)生廳關于醫(yī)療救治和應急指揮系統(tǒng)建設的要求 ，在建設 xx 省醫(yī)療救治和應急指揮系統(tǒng)虛擬專用 網(wǎng)絡時必須要達到以下幾點要求： 安全 性 VPN 產(chǎn)品須能夠保障在數(shù)據(jù)傳輸過程、用戶接入認證、內(nèi)網(wǎng)權(quán)限劃分三個方面的安全性，同時 VPN 網(wǎng)關的防火墻功能可以有效防止黒客與病毒的入侵。 加速性 由于需要將省衛(wèi)生廳和 14 個市衛(wèi)生廳的網(wǎng)絡連接起來，勢必對整個網(wǎng)絡的出口帶寬提出了更高的要求。同時在進行網(wǎng)絡帶寬建設的時候，必須要考慮到業(yè)務使用的實時性，所以 VPN 網(wǎng)絡需要提供對網(wǎng)間數(shù)據(jù)傳輸速度的加速功能，即建設一個具有網(wǎng)間加速功能的 VPN網(wǎng)絡。 穩(wěn)定可靠性 VPN 作為醫(yī)療救治和應急指揮系統(tǒng)數(shù)據(jù)的承載系統(tǒng)之一，必須具備 7 24小時不間斷運行的能力，保證整 網(wǎng)的可用性；同時， VPN 產(chǎn)品必須能提供備份機制來降低因線路中斷或硬件故障可能帶來的風險。 可管理性 一套集中的管理平臺可以在一個地方完成對數(shù)量眾多的設備進行方便、統(tǒng)一、有效的管理和維護，將管理員從繁重的維護工作中解脫出來。 . 選型參考 根據(jù)網(wǎng)絡建設 的需求情況來看， 要求在?。?之間采用 網(wǎng)對網(wǎng)（ Net－ to－ Net）的連接方式組建 VPN 骨干線路，所以 建議采用深信服科技提供的具備網(wǎng)間加速的 VPN 解決方案， 既 能夠滿足目前的需求，同時可以很好的支持后續(xù)的擴展性。 根據(jù)現(xiàn)網(wǎng)實際的需求，建議在省 衛(wèi)生廳 配置 SINFOR M5400Q 級別的設備，在 14 個市級配置 SINFOR M5100Q 級別的設備。 設備選型列表如下： 7 序 號 設 備 型 號 部 署 地 點 1 SINFOR M5400Q 省級 2 SINFOR M5100Q 市級 . 組網(wǎng)方案 在部署 網(wǎng)間加速 VPN 設備 后 ，整個網(wǎng)絡的拓撲結(jié)構(gòu)如下圖所示 ： 說明： 省衛(wèi)生廳和省政府之間采用 2M 專線進行連接。 省政府和 14 個市的政府信息網(wǎng)之間采用 154MSDH 專線進行連接，各個市的衛(wèi)生局通過本市的政府信息網(wǎng)接入到省政府網(wǎng)絡。 在 省衛(wèi)生廳 部署一臺 M5400－ Q， 接受 14 個市 衛(wèi)生局 IPSec VPN 接入。 在 14 個市 衛(wèi)生局 各部署一臺 M5100－ Q，采用 IPSec VPN 接入 省衛(wèi)生廳 。 所有部署了 M5400－ Q 和 M5100－ Q 設備的網(wǎng)絡均可以提供 網(wǎng)間加速功能 。 8 3. 整體方案 技術(shù)特點 . 安全的 VPN 體系 . 基于安全的 IPSEC 協(xié)議 SINFOR VPN 網(wǎng)關 遵循的是 IPSEC 協(xié)議， IPSEC 是目前最為安全 VPN 協(xié)議。通過 IPSEC 在Inter 上建立安全可信的隧道，各實體之間的數(shù)據(jù)都是通過安全隧道傳遞 。 局域網(wǎng)內(nèi)原始 IP 的 IP 頭包含本局域網(wǎng)信息。經(jīng)加密后，多個原始 IP 成為 隧道 IP 的負載，隧道封裝的 IP 頭為隧道兩端的 InterIP,這樣就保護了內(nèi)部網(wǎng)絡信息，而且原始 IP 的數(shù)據(jù)已被加密成為負載，防止了內(nèi)容泄漏。同時添加 ESP、 AH 幀頭標志，用于識別正確的隧道封裝 IP，防止內(nèi)容被篡改，支持 MD5 算法。加密使用 AES128 位加密算法，該加密算法是美國國防部采用的標準，比同等級別的 3DES 快 3 倍。 . 完備的接入鑒權(quán)機制和硬件綁定的 CA認證機制 SINFOR VPN 網(wǎng)關 內(nèi)置 RADIUS 服務，完成對接入分支、移動的用戶名，密碼認證。 RADIUS認證過程采用挑戰(zhàn)―應答模式，在這種認證模 式下，認證信息不在網(wǎng)絡上傳遞，而且挑戰(zhàn)不同的分支或移動答復也不同，保證認證信息不會被竊聽。 但是 用戶名和密碼或者傳統(tǒng)的 CA 證書認證方式都存在證書或密碼被盜用的問題 ， 為避免傳統(tǒng)方案的泄密缺陷， SINFOR VPN 網(wǎng)關 中使用了深信服公司的專利技術(shù)－基于 PC 硬件特征的證書認證系統(tǒng)（ HARDCA）來實現(xiàn)基于硬件的認證。通過該認證方法，只有指定的機器才能接入。HARDCA 認證方式示意圖如下： 9 其過程描述如下： 由分支模式或移動用戶運行鑒權(quán)程序，該程序收集計算 機的硬件信息，產(chǎn)生同分支或移動對應的一個唯一的 ID 文件（ HARDID），由總部模式管理員將此 HARDID 輸入到總部模式的鑒權(quán)管理庫里 (IDBASE)。 總部在同分支建立數(shù)據(jù)隧道前，先要在命令通道進行 HARDCA 認證，經(jīng)過命令通道HARDID 認證的分支或移動，才允許建立數(shù)據(jù)隧道。認證的流程遵循 RADIUS 認證過程。 . 集成 USB Key 的硬件身份識別功能 采用 USB Key 技術(shù)可以保證 VPN 移動用戶的身份不被盜用。每個用戶隨身攜帶標識自己身份的 Dkey(一種類似 U 盤的 USB 鑰匙 )，在任何一臺 PC 上，插入 Dkey，輸入自己的私人密碼后就可以完成接入，類似銀行取款卡，簡單而安全。 . 更細致的權(quán)限粒度 在 VPN 網(wǎng)絡中還存在一些潛在的安全隱患，比如分支的用戶可以接入總部訪問所有資源；黑客可以入侵分支，然后通過 VPN 入侵到總部，非法獲得商業(yè)機密；病毒可以通過 VPN 隧道在企業(yè)的各個網(wǎng)絡傳播。這些都是 VPN 網(wǎng)絡中可能存在的種種安全陷阱。 如果能夠有效限制每個VPN 用戶在 VPN 網(wǎng)絡內(nèi)的訪問范圍和訪問權(quán)限，就能最大限度的降低這種風險。 但目前大多數(shù) VPN 產(chǎn)品都沒有一種簡單的機制來保證 VPN 的內(nèi)網(wǎng)安全， Sinfor VPN 網(wǎng)關采用 VPN 權(quán)限粒度分析技術(shù)，可以簡單靈活的指定每個 VPN 用戶的具體權(quán)限，可以細致到端口級別的權(quán)限 ， 通過這項技術(shù)可以使得指定的資源只有授權(quán)的用戶才能訪問。 總部 分支 /移動 產(chǎn)生（ keyA , KeyB） 請求鑒權(quán) KeyA 用 keyA 對認證信息進行加密 密文 用 KeyB 對密文解密得到認證信息 鑒權(quán)結(jié)果 10 如下圖中，就可以通過 VPN 權(quán)限粒度保證高級權(quán)限的用戶能訪問總部的所有服務器，而普通權(quán)限的用戶則只能訪問 OA 服務器，通過限制 VPN 用戶只能訪問服務器開放的服務端口，還可以限制病毒通過一些不安全的端口（如 RPC）跨網(wǎng)傳播。 . 加速的 VPN 體系 Sinfor VPN 網(wǎng)關針對公網(wǎng)數(shù)據(jù)傳輸存在的問題，提供了網(wǎng)間加速功能，主要有以下的功能： . TCP 協(xié)議代理加速技術(shù) 網(wǎng)絡 時 延造成的響應時間減慢 很大程度上 是 TCP 協(xié)議等待確認的結(jié)果 ，這個問題 最簡便的解決方法是讓攔截設備監(jiān)聽 TCP ACK消息，并管理廣域網(wǎng)上的信息傳輸。這樣，最終主機便認為遠程端與它并排位于局域網(wǎng)上，從而能夠以更快的速度與加速平臺互動。 . 數(shù)據(jù)流 cache 加速技術(shù) 在廣域網(wǎng)中傳輸?shù)氖菙?shù)據(jù)包， 數(shù)據(jù)流 cache 加速 技術(shù)是把數(shù)據(jù)包拆分成很多碎片，并對碎片分配唯一指針，將指針分別存儲在本地設備和目的地接收設備中，當具有相同指針內(nèi)容再次需要傳輸時，只傳輸指針到目的地，接收設備根據(jù)指針便在本地的設備中提取出內(nèi)容。只要碎片足夠小， 傳遞內(nèi)容相同的概率就會足夠大。對于同一個用戶而言，往往需要頻繁傳輸相同或相似信息，效果非常明顯。 舉一個簡單的例子，如對于 PPT 文件來講，所有頁碼中 Logo、表頭、表尾內(nèi)容都是相同的，不需要重傳，并且對再次更改的 PPT，往往只是更改了非常少的內(nèi)容，再次傳送則實際上僅需要傳送更改的內(nèi)容即可。 目前很多加速產(chǎn)品采用了文件緩存方式進行加速，即將文件緩存在網(wǎng)關上，用戶訪問文件的高級權(quán)限 普通權(quán)限 病毒 財務服務器 OA 服務器 11 時候?qū)嶋H上是從本地網(wǎng)關取得文件，并沒有直接訪問遠程服務器上的文件，這種方法存在兩個比較明顯的問題： ? 無法保證文件的實時性，如果服務器上面的文 件更新了，可能導致用戶訪問的還是更新以前的版本。 ? 如果服務器上面的文件變化較小，比如一個 100MB 的 ZIP 文件中增加了一個 1MB 打包文件，需要將整個文件重新傳輸一次。 SINFOR 加速網(wǎng)關采用數(shù)據(jù)流 cache 加速技術(shù)來替代文件緩存技術(shù)，通過優(yōu)化的模式匹配算法，可以使網(wǎng)絡中傳輸?shù)臄?shù)據(jù)足夠小，能夠達到和文件緩存相當?shù)募铀偎俣?，還能在保證實時性同時對變化較小的文件同樣能夠起到加速作用。 . 應用協(xié)議加速技術(shù) 很 多軟件應 用在設計 時并沒 有考慮廣 域網(wǎng)的 特殊環(huán)境 ，比如微 軟的 CIFS 和Exchange/Outlook(MAPI)等，大量的使用小包及在應用層面存在過多的 Request/Response交互，這種設計在局域網(wǎng)中運行很順暢，但在廣域網(wǎng)這種延時巨大的環(huán)境中 (由于地理距離，跨越多個路由設備以及運營商之間的路由策略造成 )會造成帶寬使用率低下的結(jié)果，并且由于這些Request/Response 交互發(fā)生在應用層面，一般的 TCP 加速和 Qos 手段都無能為力， SINFOR加速網(wǎng)關就是提供針對應用協(xié)議進行優(yōu)化來的技術(shù)來提高應用軟件網(wǎng)絡傳輸效率。 . 高強度的壓縮技術(shù) SINFOR 加速安全網(wǎng)關采用了基于硬件的 GZIP 和 LZO 高速流壓縮算法，可 以對所有的數(shù)據(jù)先壓縮后傳送，大大提高了終端用戶在使用 Web 資源和 C/S 應用時 的訪問速度 ， 減少下載時間和網(wǎng)絡 流量 。 . B/S 應用加速功能 如果一個基于 B/S 構(gòu)架的 WEB 業(yè)務系統(tǒng)中，遠程訪問用戶打開一個簡單的頁面需要一分鐘以上甚至更多的時間，這樣必然會造成工作效率的下降。 同時從用戶角度來看， WEB 服務通常只有“快”和“慢”之分，用戶往往并不要求實現(xiàn)大容量數(shù)據(jù)傳輸，而是希望網(wǎng)站在保證性能的同時，能夠提供更快的訪問速度，所以 WEB