背景介绍

　　  随着业务的扩展，很多企业会出现众多的分支机构，而将这些分支机构整合在一个网络中办公是企业信息化的一个必然过程。因为很多的应用系统平台都部署在总部网络，而每个分支机构都需要接入总部访问这些应用系统平台。

　　  企业在业务进入全面、快速的发展阶段时，与其配套的应用系统建设逐渐完备，诸如：ERP、OA、CRM、E-mail、FTP、WWW、网络存储、VOIP等。分支机构人员通过VPN技术可以方便且安全的访问这些应用系统，大大的提高了工作效率。然而由于分支机构与总部之间，各分支机构之间接入网络的不确定性，导致分支机构人员访问这些系统速度慢，效率低， 主要存在如下问题：

　　  1） 总部出口的带宽瓶颈，影响分支机构访问速度

　　  总部是所有分支机构流量的汇集处，所有对于应用系统的访问，都要经过总部出口，数据流量之大可想而知。VPN隧道流量和非VPN隧道流量都从该出口进行交互，如果非VPN隧道的流量占用大量的带宽，就有可能影响VPN隧道的财务系统、视频会议等核心系统、实时系统的访问体验。

　　  2） 分支机构分布零散，接入的运营商网络性能参差不齐

　　  由于VPN是基于普通公共网络通过加密技术构建的隧道技术，网络本身质量、跨运营商传输都会对VPN的使用状况产生影响，而且这种影响带有很大的不确定性，有可能是丢包较多，有可能是传输延时较大。造成访问速度的大幅下降，影响VPN接入的体验效果。

　　  3） 跨广域网的局域网应用，响应速度受影响

　　  VPN技术的部署，使得各个分支机构与总部网络之间互相访问就像局域网访问一样，例如网上邻居等应用，适用于局域网环境，存在大量的小包交互、频繁交互。如果这些应用交互的流量通过在广域网上建立起的VPN隧道进行传输，那么在时延响应方面的性能将大大降低，一个应用界面打开、一个邮件查看都要等待漫长的时间。

　　  VPN技术解决了分支和总部之间数据传输的安全性，但由于上述问题将导致访问速度过慢、降低了人员的工作效率，从而人力成本的增加。所以，安全高效的VPN隧道访问技术成为网络管理者关注的焦点。

解决方案

　　  网康NGFW产品既能提供全方位的安全防护功能，又能够在普通的公共网络基础上组建高安全性的虚拟专用网络，同时优化隧道流量的连接方式，保障VPN 跨网访问质量，提高了用户访问的速度和效率。网康NGFW产品支持IPSec VPN、SSL VPN、L2TP over IPSec VPN共三种隧道方式，同时也支持这3中隧道流量的单边加速功能。

有多分支的大中型企业部署方案

组网方案示意图

　　  企业总部：在网络出口部署NGFW产品。NGFW对总部网络做全方位的安全防护，包括IPS、AV和URL过滤功能，在开启IPSec、SSL等VPN隧道功能的同时，默认打开各隧道的单边加速功能。

　　  企业分支：在网络出口部署NGFW产品，同时完成安全防护和VPN功能。对于IPSec VPN默认开启单边加速功能。

　　  方案描述：对于有固定办公地点的分支机构，通过IPSec VPN与总部连接，访问总部的OA、ERP、邮箱服务器、FTP服务器等资源，在IPSec VPN隧道两端的NGFW设备都开启单边加速功能；对于没有固定办公地点的工作人员，可以通过SSL VPN和L2TP over IPSec VPN接入到总部的资源服务器，这样总部部署的NGFW设备需要开启针对SSL VPN的单边加速功能。这样无论何种方式访问总部资源，其VPN隧道流量的性能将大幅度提升。

中小型企业部署方案：

　　  在网络出口部署1台带VPN加速功能的网康NGFW设备，配置SSL VPN功能开启，默认开启SSL VPN加速功能，并且将允许从外部访问的资源添加到SSL资源列表。

　　  既满足了对内网的全方位安全防护，又能满足外部员工或合作伙伴的安全接入。同时在网络环境恶劣的情况下，外部通过SSL VPN访问内部资源时，仍能够保持较快的访问体验。

技术特色

　　  适用于具有强安全防护需求，且只针对VPN隧道访问性能有要求的应用场景。

单边加速技术

　　  在跨运营商，或是跨区域、国外网络等长距离传输时，流量经过多个性能不一致的网络，会导致高丢包率、高延时的问题。直接反映到用户应用访问上，就是打开公司主页特别慢，访问OA系统有时打不开，财务报表填完了提交不成功，和总部的同事传文件特别慢等等影响工作情绪及效率的体验。网康NGFW产品采用单边加速技术，优化TCP传输过程，在高丢包率、高延时情况下，大幅度提高VPN隧道流量的传输效率。

　　  TCP协议是面向连接、可靠的传输协议，所以高丢包率、高延时等恶劣网络环境对TCP协议传输的数据影响尤为严重。TCP协议的拥塞控制机制采取的是“慢上升、快下降”的方式。网络环境好的时候，传输的滑动窗口大小缓慢的增长，但窗口仅为64K。 但在传输的过程中，一旦出现丢包现象，窗口大小将立即减小到原有窗口的一般。同时丢包后将重新传输窗口内所丢数据包后的所有数据。所以，传统的TCP协议在丢包、延时环境下很难让数据达到网络实际可达到的吞吐容量，造成访问速度严重变慢。

　　  针对传统TCP“慢上升、快下降”的低效传输机制，网康NGFW通过单边加速技术优化TCP连接过程。单边加速协议通过拥塞避免机制，能够快速准确的预估出网络中可用带宽，并根据估计值确定拥塞避免窗口，从而较大限度的利用网络带宽。单边加速协议能够快速检测出丢包，并能快速准确重传该包，对时延较大，网络状况较差的情况能够有效的提升带宽利用率，通过更改快速恢复过程中发送端可以用来提高发送速率的方法，提供更大的吞吐量。

单边加速效果对比

IPSec VPN加速效果对比

试验环境

试验环境	网络带宽	丢包率	时延
环境数据	100M	1%	50ms

未开启VPN加速功能的流量图如下所示

平均速率0.43Mbps

带宽利用率4.3%

开启VPN加速后的流量如下图所示

平均速率8.74Mbps

带宽利用率87%

通过流量图的对比，开启VPN加速后，流量加速约20倍。

单边加速与双边加速对比

单边加速适应性更强

　　  双边加速原理是将TCP连接的两端对TCP连接进行代理，通过将传统TCP传输协议转换成更适合链路情况的私有协议来提高应用数据在广域网上的传输效率，所以通用设备无法通过该技术实现TCP连接的加速，只能通过专有设备进行加速。而单边加速技术，只需在设备端开启加速功能，通用的支持TCP协议的客户端都可以实现流量加速。

　　  单边加速技术设备部署灵活

　　  针对多分支的大中型企业和行业客户，单边加速的设备可以在接入广域网的两端同时部署，对双向TCP连接进行加速。然而以中小企业和以学校为代表的机构主要网络用途是上到互联网，用户无法控制连接对端，所以根本无法使用需要双边部署的TCP加速，而单边加速刚好支持在网络出口处单端部署，实现对通用TCP连接的优化。