解析VPN多路捆绑技术及应用优势

VPN（虚拟专用网络）技术对大型的跨地域企业内部同步使用ERP、MRP等信息化管理系统有着极大的帮助作用和可观的经济意义，但受到流量问题的限制，VPN技术也面临一个网络带宽"供不应求"的难题。

当前很多企业都采用ADSL网络接入方式，基于ADSL线路由于技术本身的限制，单条的上行速率只能达到几百Kbit/s，若是一些数据量较大的企业信息系统，要求双向信息流时，对上下传输的速度有具体要求，单条ADSL会显得力不从心，VPN多路捆绑技术应运而生。

多路捆绑概述

VPN多路捆绑，即是数据包可从两条线路进行传输，与磁盘阵列RAID0的方式相似，可在理论上达到带宽倍增的效果。

从表面上看，多线路捆绑是一种非常理想的技术，如图1多线路捆绑技术结构图所示，但真正实现起来，其中也存在不少困难。

图1 多线路捆绑技术结构图

首先，数据要同时在多条线路上传输、如何能保证相同的业务数据分配到不同线路时，仍然不受影响？如何保证一串视频数据在发送时通过多条Internet线路、到接收端后，其传输的数据顺序必须准确有效、并能还原成发送前的状态。

其次，线路的中断和恢复问题。一旦一条线路出现故障，所承载的数据要立刻无缝切换到其他线路，并保证业务不受影响。同样，线路恢复后，也要能够在新恢复的线路上建立VPN隧道，并能够重新调整负载均衡策略。

最后，Internet连接方式也多种多样。用户为了进一步增强系统稳定性，往往倾向于从不同的运营商处申请线路，就会存在各种不同方式的Internet线路（如ADSL、宽带、DDN等），需要能够实现带宽的捆绑和叠加。

当然，多线路捆绑技术给用户带来的好处是显而易见的，首先是带宽得到大幅提升。其次是VPN支持各种不同方式的线路绑定，用户可以申请多条动态IP的ADSL上网线路，通过多线路防火墙/NAT模块，实现多条线路共同访问Internet，成倍的提高了上网的速度。

另外，系统稳定性得到增强。优秀的VPN路由还进一步实现了多条Internet线路的QOS管理，并能根据不同线路的带宽情况智能分配负载，最大限度的提高带宽利用率。图2所示即为某公司VPN网络图,就是多路捆绑技术的实际应用。

图2 多路捆绑技术实际应用图

多路捆绑的组合

在一个路由器上做多条线路捆绑的方式有多种组合：多条ADSL线路捆绑，多条光纤线路捆绑，光纤和ADSL线路进行捆绑。

从实际应用的角度分析，两条线路进行捆绑后，上下行的流量不可能达到1＋1＝2的效果，2条以上的线路也是同样道理，原因大致如下。

1．当每一个数据包进行传输时，该数据包必须优先选择其中一条线路，这个选择的过程即是路由器进行调度分配的过程，路由器会按照预先设定的算法将每一个数据包根据一定的条件（这个条件通常不是固定的）分配到一条线路，这个过程会占用路由器的处理器资源，需要耗费一定的时间。虽然每一次处理的耗时非常短暂，但大量的数据包耗费的时间累加起来就比较可观，加上现在中低端路由器的处理能力有限，因此这种资源的消耗是不能忽略的。在使用中可以发现，捆绑两条2Mbit/s的线路和一条4Mbit/s的线路进行对比时，使用者会发现捆绑两条2Mbit/s线路的速度不会超过4M的线路，其中一个重要因素就是路由器上对数据包进行调度而耽误了数据转发的时间。

2．众所周知，当数据同时在两个硬盘上进行读写时，RAID0阵列的容量取决于容量较小的硬盘，而在VPN多路捆绑中也有类似情形。如果两条线路的带宽不一样，情况就会比较复杂。在运行中，若路由器仍然按照1:1的比例将数据包分别派发给两条线路时，会造成带宽较大的线路必须等待带宽小的线路完成数据传送，因此效率降低。

在实际的使用中，支持不对称多路捆绑的路由器都允许设置路由器调度分配的比例，例如接入1条1Mbit/s的ADSL和1条2Mbit/s的ADSL时，就可以把这个比例设成1:2，这样两条线的带宽就可以充分利用起来。当然，由于数据分配的比例不会是完美的1:2，而两条线路的实际流量也不是准确的1:2，因此宽带资源还是没有被完全的利用起来，所以最终1Mbit/s和2Mbit/s两条ADSL线路捆绑之后的实际效果依旧小于3Mbit/s线路的实际效果。

3．对两条线路进行捆绑时，下载和上传时得到的带宽并不相同。在上传时两条线路同时传送数据，可以理解为1＋1＝2。在下载时，对方无法控制数据包往哪条线路上传送，因此每次在接收对方数据包发送时，均由其中一条线路承担接收任务。在这种情况下，两条1Mbit/s的线路进行捆绑后其实效果大概为1＋1＝1，因此不能将多路捆绑简单理解为带宽的叠加。

安全和权限问题

多条线路同时连接时，局域网也面临着多条与Internet连接的通道。这就给各种网络攻击、病毒提供了更多的可乘之机，所以很多VPN路由都是直接结合了比较专业的防火墙功能，不但能够支持多条线路的捆绑上网，还能对带宽进行智能动态分配，防护来自多条线路的攻击。

由于很多VPN网络的结构非常庞大，内部成员的权限问题也非常复杂，因此一些优秀的VPN产品可以对各成员接入后的可访问资源做严格而详细的限定来杜绝这些安全隐患。例如Sinfor的DLAN方案就可以针对每个用户设定不同的接入访问权限，如某些用户只能访问总部的库存系统，不能访问财务系统等，不同的VPN用户可以设定对不同资源的访问权限，避免因为VPN用户权限过大造成的安全隐患。