二、3COM的Intranet（内联）VPN解决方案

    内联VPN是为了解决企业总部与分支机构、分支办公室网络之间的VPN通信问题，3COM称这个VPN方案为“Intranet VPN”，又称为“虚拟专线VPN解决方案”。它与前面介绍的移动用户VPN方案不同的是，它不再是单机与网络之间的连接，而是属于网络与网络之间的连接，即Lan-to-Lan。这种VPN网络类型通常是采用路由器到路由器模式，也就是说相互连接的VPN网络边缘都是路由器，所有VPN隧道都是由路由器发起，终结于路由器。但是3COM的这种种方案中，并不是这样的，VPN隧道的发起和终结都是隧道交换机，也就是说3COM公司的隧道交换机同样具有隧道开启和终结功能，它才是整个内联VPN的核心设备。这是3COM公司VPN方案的一大特点。这一方案同样具有许多优点，其中最重要的还是非常经济。内联VPN网络结构如图3所示。
#$[*127153.jpg*#图3（点击看大图）*#0*#0*#center*]$#
    3COM公司的Intranet VPN解决方案在用户端采用的是3COM特有的小路由器，从极为小巧的OCNB一直到19寸机架可堆叠式的SuperStack II（参见图1）。这些小路由器都可以支持VPN的功能，都可以使用户端的局域网连接到企业的局域网上。在VPN的中心端采用的是NETBuilder II与PathBuilder系列隧道交换机。从两端到中心的全部交换机都可以实现线速加密，所以系统性能不会因加密而受到影响。

    企业可以将VPN网络服务器容量（隧道终端）加入到原有的NETBuilder II或SuperStack II桥接器/路由器上。在租用线、帧中继、ISDN、SMDS或56K交换连接上，这种设备可以提供到NSP的连接；在以太网、令牌环网和ATM上，可以提供到局域网的连接。NETBuilder II路由器产品支持所有主要的局域网协议，可以将多协议隧道业务选路到适当的局域网服务器上，而且还支持接入传统系统的SNA协议。

    NETBuilder II和SuperStack II产品具有少有的技术优势，能够提供对BoundaryRouting（边缘路由）系统体系的支持。BoundaryRouting技术使公司可以简化路由器的安装和配置，不需要原地派驻技术人员，只需要将关键路由器管理和路由器总的管理功能集中到一个中心站点即可。

    在NSP提供隧道建造服务的情况下，分支机构和远程用户仍然可以象从前一样使用原有的网络设备。在远程用户设备要建立隧道的场合，则必须使用附加软件，这种软件已经集成到3COM网卡中。

    使用路由器来工作的虚拟专线解决方案所能支持的协议数量比通过拨号方式工作的第一种解决方案还要多，除了IP、IPX协议以外，它还可以支持AppleTalk、DECNet、SNA等几乎所有的局域网协议。另外，对它的升级也非常容易。

    Intranet VPN方案中有几种非常关键的技术提高，其中包括IPSec128位和3DES的数据加密算法、使数据可以被更为安全地传输的动态密钥加密技术以及对公共密钥的支持等。在对数据包进行路由以及用户授权方面，它可以实现基于企业策略的授权和路径管理。任何一个用户，不论他在什么地方，网络对它的授权都是唯一的。所有的策略管理都由同一个安全数据库来进行。3COM在这种方案中大量地采用了Total control集中器，如图4所示的为一款Total Control 1000产品图。
#$[*127155.jpg*#图4（点击看大图）*#0*#0*#center*]$#
    Total control可以直接发起一次隧道连接。用户通过拨号与Total control建立连接后，Total control会识别该用户是否是授权的VPN用户，然后与隧道交换机建立隧道连接。隧道交换机是连接于企业网外部的、负责进行多点通讯的设备，外部用户也可以通过它对企业内部的各种资源进行访问，因此这种工作模式既保证了企业网络的安全性（基于策略的安全性），同时也保证了授权用户可以随时访问到它所需要的资源。

    在3COM的这种内联VPN中，主要用到的隧道交换机有如下几种型号：

    PathBuilder S590

    这是一个隧道交换机系列，它的每一个成员都可以在一个独立的系统中提供集成化和可管理的路由器、防火墙和端到端的VPN能力。这对于那些向企业提供可管理的VPN外包服务的大型企业或ISP和NSP来说是非常理想的。每一部交换机都可以为移动用户、端到端连接和企业合作伙伴的连接同时支持超过2000条VPN隧道。这些交换机可以以较其他竞争性产品高2～3倍的速度实现166Mbps的线速加密带宽。

    PathBuilder S500

    这是目前3COM应用最多的一款隧道交换机（如图5左图所示），它囊括了创造性的3COM隧道交换技术的全部。这些架构的实施在3个方面为VPN提供了可伸缩性：

    （1）. 隧道交换技术进一步将安全VPN隧道加入了部门级局域网中，以便起到隔离保密要求较高的流量的作用。例如，一家金融机构可以将投资银行业务对同一家公司的股票经纪人保密。
    （2）. 网络主管们可以利用隧道交换技术为不同的流量类型设置不同的策略，然后分别交换相应的流量。
    （3）. 隧道交换技术可以将加密功能从一部隧道交换机上卸载至下行数据流隧道交换机上，从而级联所有的加密吞吐量至超过100Mbps。

    PathBuilder S400

    PathBuilder S400广域网统一交换机可以为机构之间和移动用户的通信同时支持多达256个安全IP隧道。这对于需要一条或多条T1带宽的机构来说尤为重要。利用基于标准的隧道技术，交换机可以为多达12部模拟电话、传真机和数字/模拟PBX系统提供可扩展的语音连接。为了使话音呼叫能够在数据网络上传输，该解决方案提供对VoIP、FoIP、VoFR以及基于标准的语音压缩功能的支持。此外，交换机的高级服务质量（QoS）特性可在将话音质量的损失降至最低的条件下支持统一的语音和数据流量。
#$[*127157.jpg*#图5（点击看大图）*#0*#0*#center*]$#