模板
教程
环境
性能
功能
管理
IPSec 让因特网变得安全
尽管近两年来IPSec以IP-VPN的名义已被普遍采用,但它实际上只是1995年为IPv6设计的一个子集。由于IPv6未能普及,人们决定尽量多在IPv4 上执行,使 IPSec 成为其中最大的组件之一。 IPSec 组件 IPSec 不是一种协议而是由几个组件组成,包括IKE、AH 和ESP。有
| 尽管近两年来IPSec以IP-VPN的名义已被普遍采用,但它实际上只是1995年为IPv6设计的一个子集。由于IPv6未能普及,人们决定尽量多在IPv4 上执行,使 IPSec 成为其中最大的组件之一。 IPSec 组件 IPSec 不是一种协议而是由几个组件组成,包括IKE、AH 和ESP。有了这些组件,公司就可以放心地与特定用户共享信息。 IKE 是启动 IPSec 工作的关键组件。它可使两台设备相互证实它们的身份,并设置数据传输的基本条件。IKE 执行一个有两个步骤的处理过程,在这个过程中,两台设备交换“密匙”以证实各自的身份,然后建立信息传输的“通道(tunnels)”。一旦通道建立,每个发送的信息包都将在IP包头的后面包含AH 和/或ESP标头。 AH 利用一种验证机制防止有人窃取其他用户的身份,启动或继续对话。由于采用了相应的运算法则,使AH成为了一种低数据包开销、低处理能力需要的强大的实现用户验证的手段。 AH的缺点在于内容无法加密,仍能使人看到有效载荷。但AH可确保信息包在传输过程中不被修改,确保它完全是作为发送方的一方所发送的信息包。 ESP 一般与IPSec一起使用。由于每个信息包都经过加密和验证,因此即使被窃取或偷听,也可以防止有人利用这些数据。只有已经建立通道的指定目标设备,才能获得解密数据的必要密匙。 IPSec 测试 建立通道,验证用户和加密数据可以逆向来影响预期的网络性能水平。因此,在选择带有IPSec支持的设备时,一定要了解它的可扩展性及其性能。 可扩展性是一个广泛的范畴,涉及设备支持多少端口、多少连接等方面的能力。就IPSec而言,有两个可以进行产品比较的类别:速率和容量。 速率涉及建立通道的速度,而容量指可以创建的通道数量。这两者都是评估不同IPSec设备处理能力的好方法。但由于设计的设置选项非常的复杂,而相关的变量都可轻易影响评估结果,衡量IPSec产品的容量以支持的通道数量为评估基准。尽管如此,由于评估结果取决于每个通道最初如何建立IKE设置,容量参数的比较也可能就像拿苹果与橘子比较一样。 性能 多年来,按照 RFC 1242和2544进行延迟和帧丢失性能的测试已成为评估网络设备能力的标准方法。这些测量涉及通过一台设备发送的非连接的信息包(UDP),确定该信息包完成传输需要多长时间以及是否有信息包被发送到错误的端口或丢失。 随着设备变得更加强大,利用面向连接的(TCP)测试现已成为标准作法。这些测试的重点在于测量传统的IP层“上层”的性能,即人们熟知的“响应时间”。明确地说,这些面向连接的(TCP/HTTP)测试将反映当用户在网上冲浪时被测设备所能给予用户的感受。  TeraVPN解决方案 Spirent 通信公司SmartBits部门已开发出一种专门用于测试IPSec 的解决方案。TeraVPN 采用TeraMetrics结构,运行Linux操作系统,采用奔腾处理器,做控制层面的测试,用专用硬件做数据层面的测试。 TeraVPN 在本行业独具特色,因为它是唯一支持容量和通过创建通道进行面向连接和面向无连接性能测量的产品。在TeraVPN出现之前,没有能够为设备创建IPSec通道,然后在该通道上产生通信流量的工具。 TeraVPN带有易于使用的界面,为本行业提供了确定通道容量和测量网络性能的解决方案。TeraVPN 可支持带有数千通道的数百个端口,并可模拟从数千个客户机通过这些通道到服务器的数据,适用于从最小到最大的网络。  |
