【IT168专稿】我们知道,在VPN应用中主要存在三种类型:(1). Remote Access VPN(远程访问VPN),这一类型在3COM公司中专门有一种“移动用户VPN方案”,也有的称之为“全球Internet接入VPN方案”;(2). Intranet VPN(内联VPN),针对这类用户的VPN应用,3COM也有一种专门的VPN解决方案,那就是“大企业VPN方案”,也称之为“虚拟专线VPN方案”;(3). Extranet VPN(外联VPN),针对这一主要VPN应用,3COM提供了更为强大的VPN解决方案,这一方案是在前面两种VPN方案加上了外联方式,称之为“多服务远程访问VPN方案”。下面就对3COM的这三种主要VPN应用方案进行简单介绍。
一、移动用户VPN方案(全球Internet接入VPN方案)
移动用户VPN方案是方便企业出门在外的员工仅需通过简单的当地拨号(或其它上网方式)即可与企业网络进行VPN通信而设的,即通常所说的“Client-to-Lan”(客户到网络)。它解决了传统拨号网络通信方式中,在外地的用户需要拨打昂贵长途电话的困难。员工通过这种VPN通信方式与企业网络联接,只需要拨当地ISP帐户连接互联网,即可利用相应的软件或硬件在互联网建立私有隧道,与公司网络连接。这样所需的通信费用仅是市话部分,相对来说便宜许多。目前也有许多软件解决方案,如微软的Windows 95以后的系统,但是网络连接和安全性能较差,更多的是采用软、硬结合方式,3COM公司全球Internet接入VPN方案。
3COM公司的全球Internet接入VPN方案是通过使用微软Windows系列操作系统提供的MPPE加密协议,实现了从用户端发起的VPN隧道。但它所使用的拨号软件是专门的,是一种工业标准化的VPN接入拨号联网软件。你必须确保所有的Windows 95客户端都支持DUN(dial-up networking)1.3或更高的版本。你还需要依客户端进行拨号连接的国家不同为其在0到128位之间确定加密级别。当然这只是VPN终端,对于VPN企业局端来说,它还是需要相应的VPN设备的来作为VPN隧道终结器的。在这种VPN应用方案中,网络边缘也是采用VPN路由器作为隧道终结器的,如适合小型企业的OfficeConnect NETBuilder路由器(如图1左图所示),适合大中型企业的SuperStack II ENTBuilder SI系列路由器(如图1右图所示)。
#$[*127149.jpg*#图1(点击看大图)*#0*#0*#center*]$#
如果你打算使你的企业网络同时支持Lan-to-Lan和移动用户的VPN连接,还将需要为每一种类型的连接各分配一个IP子网。
这种全球Internet接入VPN方案网络结构如图2所示。你还需要选择认证方式,例如,PathBuilder(tm)S500允许你选择RADIUS(远程认证拨入用户服务)或内部认证服务。利用RADIUS服务,你还可以将认证请求传递给更多其他的安全策略,如Windows NT域认证、基于令牌的系统甚或是指纹辨识服务器。
#$[*127151.jpg*#图2(点击看大图)*#0*#0*#center*]$#
在这一VPN方案中,如果企业有大量远程访问用户访问需求,通常在企业总部可以采用PathBuilder S500隧道交换机(具体将在下篇介绍),它在整个3COM VPN产品线中是最强大和最具可伸缩性的。这一款位于公司总部、与企业骨干网互联的交换机可以轻而易举地支持上百个远程用户,并留有拓展的空间。
3COM全球Internet接入解决方案最重要的优势之一是它可以帮助企业减少相关的投资。当大型企业用户面临大量的拨号访问需求的时候,采用3COM全球Internet接入解决方案使他们不用在为此花费大量的资金来建立和维护一个庞大的拨号网络,不用再为其租用E1/T1或PRI线路。所有的拨号连接都通过Internet来完成,从而为企业节省了大量的费用。另外,很多企业的VPN都将隧道的起点置于本地的ISP,遍布于世界各地的用户借助于本地的ISP来安全地发起一次隧道连接。
二、3COM的Intranet(内联)VPN解决方案
内联VPN是为了解决企业总部与分支机构、分支办公室网络之间的VPN通信问题,3COM称这个VPN方案为“Intranet VPN”,又称为“虚拟专线VPN解决方案”。它与前面介绍的移动用户VPN方案不同的是,它不再是单机与网络之间的连接,而是属于网络与网络之间的连接,即Lan-to-Lan。这种VPN网络类型通常是采用路由器到路由器模式,也就是说相互连接的VPN网络边缘都是路由器,所有VPN隧道都是由路由器发起,终结于路由器。但是3COM的这种种方案中,并不是这样的,VPN隧道的发起和终结都是隧道交换机,也就是说3COM公司的隧道交换机同样具有隧道开启和终结功能,它才是整个内联VPN的核心设备。这是3COM公司VPN方案的一大特点。这一方案同样具有许多优点,其中最重要的还是非常经济。内联VPN网络结构如图3所示。
#$[*127153.jpg*#图3(点击看大图)*#0*#0*#center*]$#
3COM公司的Intranet VPN解决方案在用户端采用的是3COM特有的小路由器,从极为小巧的OCNB一直到19寸机架可堆叠式的SuperStack II(参见图1)。这些小路由器都可以支持VPN的功能,都可以使用户端的局域网连接到企业的局域网上。在VPN的中心端采用的是NETBuilder II与PathBuilder系列隧道交换机。从两端到中心的全部交换机都可以实现线速加密,所以系统性能不会因加密而受到影响。
企业可以将VPN网络服务器容量(隧道终端)加入到原有的NETBuilder II或SuperStack II桥接器/路由器上。在租用线、帧中继、ISDN、SMDS或56K交换连接上,这种设备可以提供到NSP的连接;在以太网、令牌环网和ATM上,可以提供到局域网的连接。NETBuilder II路由器产品支持所有主要的局域网协议,可以将多协议隧道业务选路到适当的局域网服务器上,而且还支持接入传统系统的SNA协议。
NETBuilder II和SuperStack II产品具有少有的技术优势,能够提供对BoundaryRouting(边缘路由)系统体系的支持。BoundaryRouting技术使公司可以简化路由器的安装和配置,不需要原地派驻技术人员,只需要将关键路由器管理和路由器总的管理功能集中到一个中心站点即可。
在NSP提供隧道建造服务的情况下,分支机构和远程用户仍然可以象从前一样使用原有的网络设备。在远程用户设备要建立隧道的场合,则必须使用附加软件,这种软件已经集成到3COM网卡中。
使用路由器来工作的虚拟专线解决方案所能支持的协议数量比通过拨号方式工作的第一种解决方案还要多,除了IP、IPX协议以外,它还可以支持AppleTalk、DECNet、SNA等几乎所有的局域网协议。另外,对它的升级也非常容易。
Intranet VPN方案中有几种非常关键的技术提高,其中包括IPSec128位和3DES的数据加密算法、使数据可以被更为安全地传输的动态密钥加密技术以及对公共密钥的支持等。在对数据包进行路由以及用户授权方面,它可以实现基于企业策略的授权和路径管理。任何一个用户,不论他在什么地方,网络对它的授权都是唯一的。所有的策略管理都由同一个安全数据库来进行。3COM在这种方案中大量地采用了Total control集中器,如图4所示的为一款Total Control 1000产品图。
#$[*127155.jpg*#图4(点击看大图)*#0*#0*#center*]$#
Total control可以直接发起一次隧道连接。用户通过拨号与Total control建立连接后,Total control会识别该用户是否是授权的VPN用户,然后与隧道交换机建立隧道连接。隧道交换机是连接于企业网外部的、负责进行多点通讯的设备,外部用户也可以通过它对企业内部的各种资源进行访问,因此这种工作模式既保证了企业网络的安全性(基于策略的安全性),同时也保证了授权用户可以随时访问到它所需要的资源。
在3COM的这种内联VPN中,主要用到的隧道交换机有如下几种型号:
PathBuilder S590
这是一个隧道交换机系列,它的每一个成员都可以在一个独立的系统中提供集成化和可管理的路由器、防火墙和端到端的VPN能力。这对于那些向企业提供可管理的VPN外包服务的大型企业或ISP和NSP来说是非常理想的。每一部交换机都可以为移动用户、端到端连接和企业合作伙伴的连接同时支持超过2000条VPN隧道。这些交换机可以以较其他竞争性产品高2~3倍的速度实现166Mbps的线速加密带宽。
PathBuilder S500
这是目前3COM应用最多的一款隧道交换机(如图5左图所示),它囊括了创造性的3COM隧道交换技术的全部。这些架构的实施在3个方面为VPN提供了可伸缩性:
(1). 隧道交换技术进一步将安全VPN隧道加入了部门级局域网中,以便起到隔离保密要求较高的流量的作用。例如,一家金融机构可以将投资银行业务对同一家公司的股票经纪人保密。
(2). 网络主管们可以利用隧道交换技术为不同的流量类型设置不同的策略,然后分别交换相应的流量。
(3). 隧道交换技术可以将加密功能从一部隧道交换机上卸载至下行数据流隧道交换机上,从而级联所有的加密吞吐量至超过100Mbps。
PathBuilder S400
PathBuilder S400广域网统一交换机可以为机构之间和移动用户的通信同时支持多达256个安全IP隧道。这对于需要一条或多条T1带宽的机构来说尤为重要。利用基于标准的隧道技术,交换机可以为多达12部模拟电话、传真机和数字/模拟PBX系统提供可扩展的语音连接。为了使话音呼叫能够在数据网络上传输,该解决方案提供对VoIP、FoIP、VoFR以及基于标准的语音压缩功能的支持。此外,交换机的高级服务质量(QoS)特性可在将话音质量的损失降至最低的条件下支持统一的语音和数据流量。
#$[*127157.jpg*#图5(点击看大图)*#0*#0*#center*]$#
三、3COM Extranet(外联)VPN方案
外联VPN方案是用于不同企业网络之间的互联,通过VPN来取代原有的在企业网络之间互联的专线,可使网络的成本费用降低50%~75%。网络结构如图6所示。
#$[*127159.jpg*#图6(点击看大图)*#0*#0*#center*]$#
内联VPN与外联VPN方案在网络结构上没有什么区别,都属于网络与网络的连接,即Lan-to-Lan。它们之间的主要不同之处就在于网络中访问权限的分配不同。内联VPN因为属于同一企业用户,所以网络之间的访问权限可以非常高;而外联VPN因属于两个不同企业网络之间的互联,所以网络的访问权限是要受到限制的,不可能像内联VPN那样完全不设防。
3COM在这种企业外联VPN方案通常使用Total control多业务接入平台(参见图4),因为它不仅可以向ISP(因特网服务提供商)、NSP(网络服务提供商)和大型企业提供强大、可靠的远程访问解决方案,还可使他们拥有了超越传统联网限制的能力。在与3COM的HiPer接入系统配合使用时,Total control平台可以提供端到端的VPN解决方案,其中包括安全性、联网和策略管理,并可以以低得多的成本实现与专用的广域网链接相同的性能水平。作为一种强劲的远程接入服务器(RAS),Total control可以在没有丝毫性能下降表现的条件下接收和转发数十万个外来呼叫。这一平台还提供丰富的接口和选项,其中对包括VoIP和VPN的支持。软件可升级的Total control平台的设计特性之一便是其业务可靠性,利用冗余供电系统和模块化应用卡来防止单点故障。该平台集成有频道排(ChannelBank)、CSU/DSU、Modem、CODEC、ISDN设备、访问路由器和终端服务器等功能,以便在一个强大且不失小巧的平台之上实现高水平的呼叫密度与连接。它可以将呼叫路由至10/100Mbps以太网、ATM和帧中继广域网上,其功能就像是一部完备的、集成化的应用服务器。此外,利用T1线路,它可以支持高达336个模拟或ISDN拨号呼叫,采用E1线路则可以支持420个呼叫。
在装配有HiPer Access Router路由卡集的条件下,Total Control可以提供强大的VPN特性,例如在整个系统中验证拨入呼叫,无论呼叫的接收者是谁。此外,系统还可以提供分布式安全服务、每用户防火墙以及RADIUS(远程验证拨入用户服务)并支持TACACS+(Terminal Access Control Access Control Server plus)协议。
通过引入新的Total control网际互联功能(IWF),该系统支持VPN的能力最近又得到了增强。IWF的作用就好象是无线码多分址(CDMA)技术与有线连接网络之间的网关,使无线服务提供商可以帮助无线电话用户接入有线的VPN网络。
另外,NSP也可以使用3COM Total control TM系列集线器来发送和接收隧道业务。使用这些设备,NSP只要增加或交换应用接口卡就可以灵活地满足各种市场需求。例如,NSP目前支持ISDN和33.6Kbps调制解调器拨号连接,热交换一块卡就可以加入对帧中继的支持。加入对56K调制解调器的支持仅需要下载软件就行了。Total control集线器在单一的机箱中可提供所有的连接方式,通信效果完全取决于系统总线而不是容易阻塞的电缆连接。
该多服务访问平台在工作状态下就已经自行配置好,可以支持不同的应用环境。例如,仅用一个调制解调器就可以支持拨号进入大型主机,远程接入企业局域网和站点销售交易过程如果没有该集线器,这类应用则需要备有三种不同的调制解调器。
3COM Total control TM集线器提供NSP所需的较高可靠性。该集线器容错能力强,配有冗余电源。可热交换的插卡和软件下载式的升级意味着系统极少需要脱机调整。为了避免出现故障,如果需要的话,该集线器也可以结合插卡或冗余端口,使用重选路功能将业务重新选路后引入热备用插卡中。
总结:
本文只是从宏观上介绍了3COM公司针对VPN的三种主要应用所采用的产品方案,并没有具体介绍各自的VPN部署。但从方案中,我们可以看出3COM公司的VPN的三种主要应用领域,均能提供全面的解决方案。在这三种主要VPN应用,在产品方案配置中又各具特点。在小型企业常用的远程访问VPN中,通常是由小型路由器作为主要VPN设备来部署的;在大型企业内联VPN方案中,3COM则采用了它独具特色的隧道交换机作为其核心的VPN设备;而在企业外联VPN方案中,则采用了其Total control集线器作为VPN网络核心设备。可以说是各自具有非常鲜明的特点,满足了各行各业、各类企业VPN通信的实际需求。在后面的几篇中,我们将全面介绍3COM的几种代表性VPN产品方案,敬请关注!
![#$[*127149.jpg*#图1(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=127150.JPG){kind=link}
![#$[*127151.jpg*#图2(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=127152.JPG){kind=link}
![#$[*127153.jpg*#图3(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=127154.JPG){kind=link}
![#$[*127155.jpg*#图4(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=127156.JPG){kind=link}
![#$[*127157.jpg*#图5(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=127158.JPG){kind=link}
![#$[*127159.jpg*#图6(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=127160.JPG){kind=link}