1  引言

利用IPSec VPN技术，企业能够将Internet作为其通信网络基础的骨干，实现全球通达，并大大节约成本，同时保持内部通信的安全。然而，成功的IPSec产品开发与实施面临严峻的挑战，即如何确保IPSec协议的一致性，并在网络性能和功能方面管理IPSec VPN的效果。正确的测试方法能够绝妙地应对挑战，思博伦通信的IPSec一致性与性能测试方法便是一个例证。 

2  IPSec一致性测试的重要性

尽管IETF确立IPSec协议标准已有数年之久，但是早期的实施并不完全符合标准，因而无法一致。对IPSec VPN服务的实施者来说，这是无法接受的。

从IPSec网关厂商的角度来看，服务提供商和网络管理员需要IPSec与标准保持一致，他们经常自行校验，以确保一致性。在竞争激烈的市场环境中，厂商无法负担被客户查证出错误的后果。除了确保一致性之外，一致性测试不仅能够确保产品的质量，而且还能够缩短产品的开发周期，因为在开发周期中如果发现一个程序错误或者更正一个设计逆流，都将会对产品的最终质量产生重大影响。

对于服务提供商和网络管理员来说，多厂商环境是现实的，如果没有基于标准的实施，这种现实性将无法管理。由于他们还定期升级自己的IPSec VPN，因此确保这些升级不会打破现有的服务就变得非常重要。虽然并非所有的一致性要求都是针对IPSec的，但是将IPSec加载到网络上增加了一致性测试的复杂性和必要性。

3  可扩展性与性能测试的重要性

IPSec要求在发送数据之前先在站点之间或客户端与网关之间建立隧道。使用IPSec VPN服务的用户或站点数量可依照网关所能支持的隧道数量进行扩展。隧道所能支持的最大数，或称隧道容量，是厂商用以区别自己的产品与其它同类竞争产品的一个关键衡量标准。其中一个常常被忽视的相关衡量标准就是隧道建立速率（Tunnel Setup Rate），或者说是一个设备每秒钟所能建立的隧道数目。对于拥有众多站点或用户的电信公司级大型IPSec网关来说，隧道容量和隧道建立速率尤其重要。

增强安全就要以牺牲性能为代价，在IPSec的实施过程中，安全与性能往往会顾此失彼。IPSec会增加延迟和降低吞吐量。在建立隧道之后，IPSec网关将对输出的业务负载进行加密，并对输入网络的业务负载进行解密。加密和解密原本就需要大量的计算——这也是为什么加密数据能够保证安全的部分原因。然而，计算的开销意味着通过IPSec隧道的吞吐量将受到网关的加密与解密能力的限制。此外，加密与解密还会大大增加延迟。