虚拟专用网(VPN)是综合运用密码技术、身份鉴别技术、隧道技术和密钥管理技术,在不安全的公用网络上建立安全传输通道,使物理位置独立分散的用户从逻辑上连接起来的一种专用网络。传统IPSec VPN在实际使用中,常常受到单链路、核心网关单点故障、突发负载、及广域网速度低下等因素的影响导致可用性下降。因此,研究如何提高IPSec VPN的可用性具有理论和实际的意义,其技术具有广泛的应用前景。研究了IPSec VPN的可用性,并定义其为隧道有效通信时间与用户请求隧道通信总时间之比。提出采用设备冗余、链路冗余、数据冗余等不同层面的高可用技术来提高IPSec VPN的可用性的研究思路。设计实现了高可用的双机冗余备份HA-VPN系统。HA-VPN以2台相同规格的IPSec VPN网关互为备份,二者通过RS232接口通信进行推拉结合的状态监听和数据同步,能够在工作VPN故障时由备用VPN对等切换到激活态迅速接管隧道通信服务,通过提高修复率实现系统可用性的提高。HA-VPN的单机监控服务能够快速发现并恢复工作VPN的软故障,通过降低单机失效率从而提高系统可用性。HA-VPN设计实现了内核黑盒,能够记录工作VPN内核崩溃时的现场参数并快速重启设备恢复运行,为分析解决软件错误提供有力的帮助,也有助于提高系统可用性。对普通IPSec网关、HA-VPN单机模式和双机模式分别构建了齐次马尔科夫过程模型进行分析,结果表明HA-VPN双机模式比普通IPSec网关可用性有大幅度提升。设计实现了多路聚合和负载均衡的MA-VPN系统。MA-VPN改进一般单链路IPSec模型,提出在IPSec通信模块内部实施负载均衡的新思想,采用链路冗余结合负载均衡的方法提高可用性。MA-VPN由应用层的M-IKE和内核层的MA-IPSec协同工作。M-IKE为同一对保护子网在多条链路上并发协商出多组IPSec SA,MA-IPSec按照加权随机负载均衡策略对IP数据报调度适当的SA进行IPSec处理,实现多条链路聚合提供IPSec通信服务。MA-IPSec改进了基于IP数据报的IPSec策略匹配机制,增加基于会话的策略缓存,既提高了匹配效率又保证了通信应用IPSec策略的一致性。MA-VPN的隧道探测机制能够快速发现隧道故障,并及时将IPSec通信迁移到健康隧道上,从而提高系统可用性。测试表明MA-VPN能充分利用多链路的带宽资源,提升整体性能。对MA-VPN建立串并联混合可用模型,重点分析了双链路情况下链路可用性对系统可用性的影响,对比单链路的情况,MA-VPN受链路故障的影响小,系统可用性有很大提升。设计实现了广域网加速的WA-VPN系统。IPSec VPN基于Internet等广域网通信,受到种种因素影响存在隧道通信速率低、时延高、丢包率大等现象,导致隧道可用性降低。WA-VPN设计了TCP中继方案,通过代理ACK确认降低相对RTT,促使端主机快速发送TCP数据流,大大提高了TCP的带宽利用率。WA-VPN对TCP数据流切割为数据片以发掘通信数据的冗余度,在两端网关上进行数据片冗余缓存,并设计了IPSec缩略图协议传输数据片的索引以压缩冗余数据,降低对带宽和加解密资源的消耗,相对提高了有效数据的传输效率。WA-VPN设计了TCP传输保障协议,将IPSec通信报文在TCP隧道中传输,利用TCP已有机制来保障IPSec报文的可靠传输,提高IPSec通信在恶劣网络环境下的可靠性。它同时还是一种有效解决IPSecAH报文穿越NAT问题的新方法。重点分析了IPSec缩略图协议中数据片大小和缓存命中率对加速比的影响。测试结果表明,WA-VPN能有效提高IPSec通信的速率并降低延迟,大幅提高IPSec隧道通信的质量和可用性。