来源:http://igfw.tk/archives/1857
选择VPN商家主要会考虑到这些因素:
- 使用感受(稳定性、速度)
- 流量、价格
因此了解用户到VPN的网速、VPN商家的带宽、机器、成本方能选出合适的商家。教育网要考虑其他因素,由于较复杂为了不影响主线,在附录一节说明。
本文的建议同样适用于选购SSH代理、选购VPS(VPS商只是租用机房网络)。
测量用户到VPN之间的网速
- 时间
-
- 最适合进行网速测试的时段是晚上8点到10点,这时是中国网络使用的最高峰。
- 接下来适合测试的时段是中午1点到2点和晚上6点到7点,这时的测试结果大致相当于用户对网速的平均感受。
- 不要在晚上12点到中午12点之间测试网速,这段时间测试反映不出网速慢的问题。
- 测试方法
如果结果不理想,不要相信商家的“现在是网络高峰速度慢”或者“目前有很多其他用户在使用所以慢”的说法,后者说明购买后你要跟其他用户去分享不多的带宽。
VPN的带宽肯定是很多用户分享的,但总量太小或者利用率太高就不应该再购买。
丢包、延时与网速的关系
影响网速的因素是丢包和延时。在无法直接测试下载速度的情况下,可以由公式MSS/RTT/sqrt(p)估算(此公式适用于默认设置,VPN提供商使用了其他技术另当别论)。其中
- 典型MSS为1400字节
- 中美典型延时RTT为200ms左右
- 代表性例1:丢包率p = 5%,网速约30KB/s
- 代表性例2:丢包率p = 1%,网速约70KB/s
- 代表性例3:丢包率p = 0.1%,网速约216KB/s
美国常见机房、线路网络状况
- HE、Cogent、Level3线路到中国电信、联通丢包率高峰时段>5%,平常>3%,速度亟待维稳。
- 到中国联通网速友好的美国线路有vpls.net、Xeex、Comcast、nLayer,其它常见线路均连而不通。
- Linode等很多VPS都在HE,不适合向电信、联通提供VPN。
- 北京教育网的唯一免费出国出口是IPv6,然而目前除了清华大学,北大节点和北邮节点的IPv6带宽均已饱和,大部分北京高校接入的是北大节点或者北邮节 点。北大和北邮节点晚上高峰时段丢包率会高达5%。因此没有应对饱和带宽技术的IPv6 VPN提供商的网络使用感受都非常差,下午以后平均速度只有50~70KB/s。
VPN商家的基础设施和成本
- 主机类型。性能好的VPS和性能差的独立主机的CPU运算能力最大大约只能支撑100M总带宽。性能不好的VPS的运算能力难以保证。性能好的独立主机价格昂贵。
- 上级网络服务类型。
- 独享带宽。除HE外其他机房或ISP百兆独享带宽昂贵,目前多数独享带宽商家在HE机房。
- 共享带宽。共享带宽有月流量限制,一般廉价VPS或者普通独立主机都是共享带宽。流量限制分别在每月百GB级别和每月3000GB级别。
- 另外需要注意的是,VPN的“税后带宽”通常是带宽的85%,也就是如果VPN服务器是100Mbps的网络,那么VPN服务的总带宽最高约85Mbps。
美国机房的服务器成本基本状况如下:
- 除HE、Cogent很便宜外,其他机房100M独享带宽至少$300~$400。
- HE的IP Transit价格为$2/Mbps,Gbps机柜出租价格约为$900。(2010年末)
- Cogent的Gbps端口100Mbps带宽价格为$4/Mbps、Gbps约$1250。(2011年初)
- 其他常见裸带宽价格一般$6~16/Mbps不等。
- 共享带宽流量费用一般1000GB $50(quadranet、krypt等,2011年初)。用户使用VPN 1单位流量要消耗VPN商家2.18份流量。
- 独立主机一般还有$20~$200不等的机器和其它费用,取决于硬件好坏。
用户获得的服务质量与支出
评估提供商的剩余承载能力:
- 已有用户数。
- 月总流量。对总用户数的平均值相当于VPN提供商期望的用户流量使用值。“不限流量”是不可能的。独享带宽商家的月总流量不应当按照每天24小时计算,考虑到高峰、非高峰网络用量不同,建议按照每天6~8小时计算。
- 可用带宽。用户可以向提供商索要流量图。图中的峰值就是商家能提供的最大VPN带宽。图中每天带宽用量最大的1小时的平均带宽可以看作这个VPN已经使用的带宽。其峰值带宽减去此平均带宽可以看作用户可以使用的带宽。
- 如果商家的OpenVPN是TCP方式连接,则可用总带宽可能非常差。
- 如果商家打开了传输压缩,则该VPN的总承载能力会受到CPU运算能力的制约变得很小。
用户可根据VPN商家的定价和其成本估算出其设计总用户数,也可根据总用户数推算出自己大约有多少总带宽、总流量、在跟多少人分享。
应该根据用户平均月流量和可用带宽来评估价格是否合理。
税(Overhead)
VPN客户端和服务器在通信时要对每个包增加不少的附加字节。经验上如果OpenVPN服务器带宽 16Mbps,最大IPv4负荷速度为1.7MB/s,进行TCP下载速度大约为1.58MB/s。相当于OpenVPN协议税为15%,税后IPv4带 宽约85%,税后TCP带宽约79%。
购买教育网VPN的附加考虑
上文仅在购买美国VPN获取国外访问这一单独目的下进行。仔细考察速度还应该考虑到VPN服务器到目标网站是否足够快速。我们已经默认了美国的网络足够好以至于从哪里都能高速访问到另一个地方。
在中国,不同的ISP之间的互通状况很差。而教育网又存在免费IP收费IP政策。收费IP流量费用高,大部分同学不会开通这个使用权限;免费IP的访问速度并不好(例如教育网到电信)。
因此为了优化到国内的网速,还要考虑从电信、联通到VPN服务器的速度是否足够快。中国互联网大约三分之二的流量在中国电信的网络上,主要网站也在中国电信。所以考察网速时也应考虑到主要需要访问的网站在中国电信还是中国联通。有时必须作出取舍。
网路的不对称性
受到ISP间计算数据发送路径的网络协议(BGP)影响,从主机A到主机B的路径与其返回路径不一定相同。
TCP协议的速度有单向性:如果A到B的路径网络质量好,那么数据从A发送给B的速度就快,即使B 到A的路径网络质量不是很好也影响不大。具体有多大影响还应根据上面的TCP网速经验公式计算。在影响TCP速度的因素中,丢包由A到B的网络决定,延时 由A到B、B到A的网络共同决定。
通过ping(工具)测出的丢包率与上文中的丢包率不同,ping的丢包率是往返路径的复合丢包率,TCP速度公式中的丢包率是服务器到客户端的单向丢包率,ping测出丢包率高并不意味着TCP速度一定差。
例如从教育网到某网站途经中国电信、该网站到教育网是直连。教育网到该网站的下载速度快,上传速度很慢。
考察目标网络到VPN服务器的网络质量
直接的办法是在“测速时间”试用感受。在试用之前可以用下面的办法筛掉并不适合的VPN服务器,最终好坏评价还应以实际使用感受为准。假设我们希望对VPN服务器的下载速度进行评估。
- 基本假设
- 同一ISP内部网络好
- 实际情况:同一ISP内部也有拥挤的线路。
- 不同ISP之间网速很慢
- 如果两ISP之间的互联带宽没有饱和时网速可能会很快
- 即使带宽饱和也不一定快,这取决于ISP的网络结构。
- 如果某ISP把所有互联互通流量挤在一起,可能在该ISP内部用来传输互联互通流量的线路上就已经开始拥挤了。
- 即使带宽饱和也不一定快,这取决于ISP的网络结构。
- 如果两ISP之间的互联带宽没有饱和时网速可能会很快
- 线路好是指无丢包率、带宽不饱和
- 假设不好的线路延时并不太离谱。因此只要A到B的线路好,A到B的传输速度就足够快。
- 实际情况:电信到教育网的延时也高得十分离谱。
- 同一ISP内部网络好
- 测试准备
-
- 要知道VPN出口IP地址
- 电信或联通机器,下文称实验主机
- 此机器所在网络环境应该与使用者希望通过VPN访问的目标网络接近。例如用户希望了解VPN到电信的网络好坏就应该准备电信的实验主机。
- 此机器所在网络应该与上面的VPN出口IP地址对应。
- 测试方法
- 从实验主机对VPN相应出口进行traceroute(使用mtr),观察是否通过实验主机的ISP直连到了VPN出口。
- 例如:某双线服务器通过电信网络traceroute中途通过了联通,我们已经知道电信和联通基本不通,这就说明了从电信到该服务器速度不好。然而该服务器traceroute到电信发现直接连入了电信,说明从该服务器到电信用户的网速可能很好。
- 对于VPN来说,我们主要希望从电信、联通到VPN的路径好,这影响的是通过VPN进行下载的丢包率。
- 从实验主机对VPN相应出口进行traceroute(使用mtr),观察是否通过实验主机的ISP直连到了VPN出口。
如果要考虑上传速度,就应该从VPN出口到实验主机或者目标网络进行测试。
本节是“附加考虑”,也就是说,用户最先考虑的因素应该是VPN入口到用户所在网络(教育网)的速度是否足够好。在VPN入口到用户网速足够好的情况下,再考虑测试目标网络到VPN出口的速度。如果VPN入口到用户网速不好,其他测试都没有意义。
--
Posted By GFW BLOG 功夫网与翻墙 to GFW BLOG(功夫网与翻墙) at 3/15/2011 02:33:00 PM --
1、我们的订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、发一封标题为GFW的邮件到fanqiang70ma@gmail.com,就可获取翻墙利器赛风新地址。附《数字时代》赠阅版。3、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。
停止订阅,请发邮件到
gfw-blog+unsubscribe@googlegroups.com
没有评论:
发表评论