【隧道篇 / WAN优化】(7.4) ❀ 03. WAN优化的原理 ❀ FortiGate 防火墙

　　【简介】相信对WAN优化感兴趣的人都会有疑问，WAN优化真的有作用吗？如果真的有作用，那是根据什么原理呢？让我们来更深入的了解一下。

客户端和服务器端

　　其实很多人在一开始看到WAN优化这个词，就自然的以为上网速度太慢，WAN优化的作用是加快上网速度。直到看到上一篇文章，才知道FortiGate防火墙的WAN优化功能，是加快两台防火墙之间的访问速度。

　　和集中应用程序的使用方法一样，互联网两端的FortiGate防火墙也分为客户端和服务器端。客户端和服务器角色与会话的启动方式有关。任何为WAN优化配置的FortiGate设备都可以同时是客户端和服务器端，具体取决于流量的方向。

　　不管当前FortiGate防火墙是作为服务器还是客户端，首先都必须有一个主机ID，主机ID可以更改。

　　要和对端连接，需要新建WAN加速对，输入对方主机ID以及对方WAN口的公网IP。因此我们可以看到，要想成功的使用WAN优化功能，除了两边防火墙都自带硬盘之外，还必须有可以远程的公网IP。

　　WAN优化要求每个对等体进行以下配置：

　　● 对等体必须具有唯一的主机ID。

　　● 除非使用身份验证组，否则对等体使用主机ID值相互身份验证。

　　● 不要将本地主机ID保留在默认值。

　　● 对等体必须知道它可以启动WAN优化隧道的所有其他对等体的主机ID和IP地址。如果你使用接受所有对等体的身份验证组，则不适用。

身份验证

　　熟悉IPsec VPN配置的就知道，两边防火墙配置时除了输入对方的公网IP，还需要选择验证方式，通常是选择预共享密钥。

　　客户端FortiGate防火墙启动WAN优化会话，服务器端FortiGate防火墙响应会话请求。在此过程中，WAN优化对等体相互识别并选择进行身份验证。除非隧道是安全隧道，否则身份验证组是可选的。你需要添加身份验证组，以支持WAN优化对等体之间的安全隧道。

　　当客户端FortiGate防火墙试图与服务器FortiGate防火墙启动WAN优化隧道时，隧道请求包括以下信息：

　　● 客户端主机ID。

　　● 身份验证组的名称，如果包含在启动隧道的规则中。

　　● 如果使用身份验证组，它指定的身份验证方法（预共享密钥或证书）。

　　● 隧道的类型（安全与否）。

　　如果隧道请求不包括身份验证组，则身份验证将基于隧道请求中的客户端主机ID。如果隧道请求包含身份验证组，则身份验证将基于该组的设置。

隧道

　　所有优化流量通过WAN优化隧道在FortiGate防火墙之间通过。隧道中的流量可以纯文本发送或加密发送。纯文本和加密隧道都使用TCP目标端口7810。

　　你可以将WAN优化配置文件配置为使用SSL安全隧道，使用AES-128bit-CBC SSL加密WAN优化隧道中的流量。WAN优化使用FortiASIC加速来加速安全隧道的SSL解密和加密。

　　要使用安全隧道，你必须添加身份验证组，并在WAN优化配置文件中启用SSL安全隧道。身份验证组的接受对等体设置不会影响安全隧道。

协议优化

　　协议优化技术优化了整个WAN的带宽使用。这些技术可以通过减少通信协议所需的流量来提高跨WAN优化隧道的通信效率。你可以将协议优化应用于CIFS、FTP、HTTP、MAPI和一般TCP会话。你可以将通用TCP优化应用于MAPI会话。

　　例如，CIFS提供文件访问、记录锁定、读/写权限、更改通知、服务器名称解析、请求批处理和服务器身份验证。CIFS需要许多后台事务才能成功传输单个文件。这通常在局域网中不是问题。然而，在整个广域网中，延迟和带宽的减少可能会降低CIFS的性能。

　　当你在WAN优化配置文件中选择CIFS协议时，WAN优化隧道两端的FortiGate防火墙使用多种技术来减少CIFS流量在广域网上发生的后台事务数量。

　　如果策略接受一系列不同类型的流量，你可以将协议设置为TCP，以将一般优化技术应用于TCP流量。然而，应用这种TCP优化并不像对特定类型的流量应用更多特定于协议的优化那样有效。TCP协议优化使用TCP SACK支持、TCP窗口缩放和窗口大小调整以及TCP连接池等技术来消除TCP瓶颈。

缓存

　　字节缓存将大单位的应用程序数据（例如，从网页下载的文件）分解为小数据块，用该块的散列标记每个数据块，并将这些块及其散列存储在数据库中。数据库存储在WAN优化存储设备上。然后，FortiGate防火墙不是通过WAN隧道发送实际数据，而是发送散列。隧道另一端的FortiGate防火墙接收散列，并将其与其本地字节缓存数据库中的散列进行比较。如果任何散列匹配，则该数据不必通过WAN优化隧道传输。任何不匹配的散列的数据都会通过隧道传输，并添加到该字节缓存数据库中。然后，应用程序数据单元（正在下载的文件）被重新组装并发送到其目的地。

　　存储的字节缓存不是特定于应用程序的。电子邮件中文件的字节缓存可用于优化从网页下载相同文件或类似文件。

　　结果是通过WAN传输的数据较少。最初，在建立足够大的字节缓存数据库之前，字节缓存可能会降低性能。