VPN准入系统与路由器的传输性能仿真测试比较

【 摘 要 】 VPN系统数据传输过程，需要加密、解密，建立隧道等操作。为了测试自建的VPN准入系统传输性能，搭建了简化的仿真测试模型，利用网络业务和性能测试软件Chariot，与同配置试验机器搭建的路由器（基于相同版本的LINUX 系统），进行了网络传输性能对比试验。在测试结果中发现：VPN系统采用的UDP传输协议较路由模式采用的TCP协议在大量数据传输时能体现高效特点。在某些特定的应用中，可以取代路由器和NAT设备，提高网络传输的安全性。

【 关键词 】 VPN；仿真；Chariot；性能

1 引言

VPN（Virtual Private Network，虚拟私有网）是指通过公共网络建立的一个临时、安全的连接，它能够穿过不安全的公用网络。通过对网络数据进行加密传输，实现在公网上传递私密数据。VPN能够很好地保护数据的完整性和准确性，避免收发数据不一致。VPN主要采用隧道、加密解密、身份认证、密钥管理，在公共网络中为客户端虚拟出类似于局域网的专有线路。

Chariot是由NetIQ公司推出的一款网络测试软件，是目前世界上唯一认可的应用层IP网络及网络设备的测试软件，可提供端到端、多操作系统、多协议、多应用模拟测试，还可以进行网络故障定位、网络优化等。它可以从用户角度测试网络或网络参数（吞吐量、反应时间、延时、抖动、丢包等），能够模拟众多的商业应用进行测试，例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等。

Chariot通过模仿各种应用程序所发出的网络数据交换，帮助网络设计者或网络管理人员对网络进行评沽。通过Chariot附带的各种测试脚本用户可以测试网络的数据流量、响应时间以及数据吞吐量，也可以根据网络中所采用的应用程序的需要，选择相应的测试脚本或根据实际需要编制符合自己要求的脚本。

Chariot采用主动式监视及定量的测量，通过产生模拟真实的流量，采用端到端的方法测试网络设备或网络系统在真实环境中的性能。

2 测试方案设计

本方案分别测试VPN系统和由同一硬件和软件搭建的路由器传输性能，由于只是对比测试VPN及路由器的性能，这里将测试模型进行了简化。

由于测试条件有限，为了不影响校园网的整体运行，本测试采用非独立控制台测试方式，测试VPN系统的传输特性并与传统路由方式传输进行对比。测试中服务器运行VPN软件时为VPN方式连接，关闭VPN软件则整个链路改为传统的路由连接，其拓扑环境如图1所示。

在A机器上安装Chariot，打开运行界面，在主界面中点NEW按钮，弹出的界面中点上方一排按钮的ADD PAIR，在ADD AN ENDPOINT PAIR窗口中输入PAIR名称，在Endpoint1和Endpoint2处分别输入客户端B和控制台A的IP地址，再点击“select script”按钮并选择一个脚本，由于我们的测量是以百兆带宽为主，所以选择软件内置的脚本High Performance Throughput。可采用复制方式，建立多个收发线程。确定后点击主菜单的“RUN”按钮启动测量工作，软件会同时每对连接测试100个数据包从B发送到A。

3 测试对象模拟

本测试得到了VPN准入系统的吞吐量、反应时间、时延等指标的数据。同时，我们还在相同硬件、软件及网络设备基础上，测试了仅启用转发功能的路由器模式下的相关数据，进行对比。

为了仿真多用户同时通过VPN服务器进行访问，我们在Chariot控制台上建立了8对通信线程（线对数对测试时间影响较大），使Endpoint1向Endpoint2同时发送测试报文，并在控制界面上显示测试情况。Group/Pair是所建立的通信连接的名字，用Pair1～Pair8表示，Endpoint1和Endpoint2分别表示连接双方的IP地址。在VPN模式下，Endpoint1的地址设置为Chariot控制台A的VPN虚拟地址10.10.0.6，EndPoint2的地址设置为客户端B的IP地址172.16.7.133。Network Protocol是连接选选择的通信协议，为了表示广泛性，我们选择了使用最多的TCP协议。最后一栏是本测试为连接选择的脚本文件，为了更好的观察，我们选择了文件内容较大的脚本。

同时为了进行对比，本测试在同样的网络环境下，将VPN服务器换为仅启用路由转发的服务器，并利用Chariot软件同样建立了8对连接进行测试对比，Endpoint1的地址设置为Chariot控制台A的实际网卡地址210.45.50.123，EndPoint2地址不变。

4 测试结果

在网络通信中，用户通常对网络的速率和传输质量较为看重，针对这两点要求，我们分别对VPN模式和普通路由模式的吞吐量、传输率记忆响应时间进行了对比测试，得到如下测试结果。

4.1 吞吐量测试

作者首先对VPN模式下的数据吞吐量进行测试，两台测试机器分别通过100M网络接口于VPN服务器相连，在11分钟的测试时间内，8对连接的瞬时吞吐量起伏较大，最大值近乎最小值的两倍。但从8对连接的平均值来看，相差很小，整个VPN模式下的吞吐量分配较为公平。同时，8对连接的平均吞吐量总和为93.079Mbps，接近100M的带宽上限，作者认为通过VPN模式下对物理线路有着很高的利用率。

同样，作者对路由模式下的数据传输吞吐量也进行了对比测试，发现在同环境下采用路由模式得到的测试数据，最大值和最小值差异比VPN模式下的更大，并且8对连接的平均吞吐率差别也更为明显。同时，8对连接的平均吞吐量之和仅为86.038Mbps，也小于VPN模式下的93.078Mbps。由此，可以判断在吞吐量方面，VPN模式比传统路由模式具有更好的性能。

4.2 传输率测试

对于一个网络来说，除了吞吐量以外，其数据的传输效率也是一个很重要的评价因素。VPN模式下的网络传输率测试结果表明，在数据传输率方面，VPN模式下8对连接的平均值非常接近，各连接具有极好的公平性，进一步反映了VPN通道是公平可靠的。

在对路由模式下网络数据传输率的对比测试中，8对连接的最大值和最小值差别很大，且其平均传输率变化也更为明显。从总的传输效率来说，路由模式下的平均传输效率之和也比VPN模式下得到的数据小了很多。因此，VPN模式下的传输率也优与传统路由模式。

4.3 响应时间测试

对于一个可靠的网络，用户的连接请求应当在很短时间内给出回应，对用户作出回答。最后，为全面评估VPN方案的可行度，本文还进行了响应时间的测试，其结果可以看到在VPN模式下，8对连接的响应时间非常接近，一方的连接请求平均可以在7秒内得到另一方的回应，最小为4.552秒，最大为8.412秒，在日常使用中基本能够满足大多数网络应用的要求。

我们还对路由模式下的网络相应时间进行了测试，测试结果表明，相比VPN模式下来说，传统路由模式下的连接响应时间更长，且最小值为4.188秒，最大值为20.858秒，更不稳定。由此可以得知，VPN模式下的响应时间也更为稳定和可靠。

5 对比分析

我们对VPN模式下的测试数据和传统路由转发模式下的测试数据进行了对比，结果见表1。

由测试结果对比可见，本设计实现的VPN准入系统在吞吐量、传输率、响应时间等指标的平均性能明显优于基于同平台上的路由转发模式。但是从理论上来说，VPN传输过程是采用SSL协议对报文进行加密、解密，而路由模式中的IP包转发仅为寻址和分组的操作，VPN传输过程中的开销应远大于路由模式。

这里出现的现象，我们认为是在通信线路质量较高的情况下，VPN系统采用的UDP传输协议较路由模式采用的TCP协议简便，没有三次握手的确认开销，所以在大量数据传输时能体现高效特点。

6 结束语

本文介绍了网络传输性能测试软件Chariot，并利用该软件对自建的VPN系统模型进行了仿真测试。虽然我们的测试条件有限，在与同平台、同网络环境的路由转发模式的测试对比中，发现在通信线路质量较高的情况下，VPN系统采用的UDP传输协议较路由模式采用的TCP协议要简化，没有三次握手的确认开销，在大量数据传输时能体现高效特点。在某些特定的应用中，可以取代路由器和NAT设备，保证网络传输的安全性。

参考文献

[1] 黄华键. SSL VPN中安全身份人证的研究[D]. 西安电子科技大学硕士学位论文，2008.

[2] 武鸿浩.CUDA并行计算技术在情报信息研判中的应用[J].信息网络安全，2012，（02）：58-59.

[3] 田爱军，张勇进. 安全模型的研究和实现[J]. 信息安全与通信保密，2001， （8）： 34-36.

[4] 张震. VPN技术分析及安全模型研究[J]. 微型机与应用， 2002， 21（2）： 28-30.

[5] Aboba B，Calhoun P. RADIUS（Remote Authentication Dial In User Service） Support For Extensible Authentication Protocol（EAP）[EB].

[6] 于晓. 高安全机制VPN组网关键技术研究[R]. 北京：中国科学院， 2008.

[7] 吴轩亮.三网融合下城域网DDoS攻击的监测及防范技术研究[J].信息网络安全，2012.（03）：45-48.

[8] 王俊峰，周明天. 高速网络性能测量研究[J]. 计算机科学， 2004， 31（9）： 66-71.

[9] 孙志岗，李扎，王宇颖. 网络应用软件健壮性测试方法研究[J]. 计算机工程与科学，2005， （4）： 63-65.

基金项目：

本课题为安徽省教育厅自然基金课题项目延深（2003KJ161），基于Linux通过公网IP加密隧道实现Cernet远程互连的研究。

作者简介：

白羽（1982-），男，汉族，安徽庐江，湖南大学计算机系通信专业学士，合肥工业大学计算机工程硕士，皖南医学院计算机教研室助教；研究方向为计算机通信及网络安全。