应用的场景通常有服务器需要让外部人员访问，有两种方法来实现，一是做端口转发，一是通过VPN。如果排除安全性方面的问题，那么随便用哪种方式都可以满足这个需要了。但是，即然不考虑安全性，那总要考虑哪个方法速度更快吧。那么，这两种方式，哪种更快呢？

很多设备厂商都说，他们使用的VPN加速芯片，在定量的情况，基本上不会有速度问题。所谓定量是指，假如你VPN的吞吐量为10M，那么如果你带宽不超过10M，那么这个速度就不会有区别了!事实是这样吗？

刚好手上有个环境，正好拿来测试一下。

拓朴是这样的：server(192.168.0.250)---FW1----Internet-----FW2---PC(192.168.35.18)

FW1为hillstone SA5020，防火墙吞吐为4G，IPSEC VPN吞吐量(3DES+SHA-1)也为4G，FW2为hillstone SA-2003，防火墙及VPN吞吐量同为300M，这已经算是极限了，VPN吞吐量跟防火墙相同，应该说，速度应该是完全相等了。可事实是这样吗？

我们在SA5020上对服务器做端口转发和与SA-2003建立VPN连接，然后在PC上同时用两种方法telnet 到这个端口，即：

  telnet 192.168.0.250 XXXX
      telnet 59.61.XXX.XXX XXXX

同时在PC上抓包，得到哪下图：

这是通过VPN所建立的连接，我们看到，从客户端发出SYN请求，到服务器响应ACK，仅花费了0。001678秒的时间，接着我们看通过外网来访问的：

我们看到，通过外网来访问建立的连接，从客户端发SYN请求到服务器响应ACK，仅花费了0。001465秒，比之通过VPN，要快上0.00002秒的时间，也就是说，通过外网对服务器进行访问，网络的延时会比通过VPN的少，体现在速度上，那么应该会比通过VPN访问要快。

在等同条件下，这个时间差0.00002秒，那么就是精确的NAT与VPN的速度差别，虽然说这个差别已经无法从感觉上去体验了。

所以，无论说VPN速度有多快，那还是会跟NAT有差别的。

但同时，我们也看到，SA在处理VPN的速度上，确实也已经达到极限了。