3COM VPN解决方案概述（图）

【IT168 报道】 VPN这一较新的网络通信技术，虽然早在2000年以前就得到了普遍关注，但由于当时VPN的技术还不很成熟，特别是VPN通信的安全问题得不到用户的认可，所以在2000年热过较短时间后曾一度处于消失的边缘。因为它是利用公用的互联网之类的公网进行的，人们对安全问题尤为关心。随着VPN技术的不断成熟，各种最新、实用的数据和隧道加密技术相继应用于VPN通信中，使得VPN的通信安全问题得到了较好的解决，于是2003年VPN又重新得到了企业用户的青睐。随之而来的即是大大小小的网络设备商推出了各种应用的VPN设备。除此之外，软件厂商也不放弃，微软自Windows 2000系统以来就全面地支持了VPN通信技术。本系列要介绍的是国际著名的网络设备商3COM公司的一些主流VPN解决方案，它可以说是整个VPN技术应用方案的代表，企业用户可根据这些方案组建自已的VPN网络。本篇仅综合性的介绍3COM公司的VPN解决方案类型及主要优势。

    对于那些地域分散，却非常需要经常地协同工作的企业用户来说，如何通过经济便捷的方式进行各种远程访问成了这些用户最关心的问题之一。采用专线不失为一种办法，但其昂贵的费用却使很多预算紧张的用户望而却步。VPN通过隧道技术和QoS特性这两件法宝，使用户借助于廉价的Internet实现远程访问，其效果与使用专线一样，得到广大企业用户的认可。

    3COM公司可以提供在各种环境下使用的VPN解决方案。从最小的网络到最大型的网络、ISP、运营商、企业以及其他各类机构都可以使用3COM的VPN解决方案来实现其下一代的电子商务。今天的3COM VPN产品包括VPN集中器、交换机、路由器和防火墙等VPN常见主要设备产品，构成了市场上最全面、最为集成化的VPN产品家族，并可通过不同的产品配置来满足不同的需求。

一、3COM公司的VPN方案产品简介

    在VPN通信中，3COM不仅可以针对终端VPN用户，而且还可针对VPN服务提供商、运营商提供全面的产品解决方案。在局端方面，3COM可以提供PathBuilder（tm）S500 VPN隧道交换机产品系列（简称“PBS500”），如图1所示。

图1（点击看大图）

    这些隧道交换机是专门设计用来处理企业中心机构和运营商架构中不断增加的VPN带宽需求的，因而可以提供无以伦比的性能（采用DES算法加密时高于166Mbps）。除了完成标准的隧道终结与加密功能外，PBS500家族还可以实现隧道交换功能。PBS500产品家族还可以在一些关键性的领域中实现安全性保护，其中包括集成化的、经过ICSA认证的防火墙、网络地址转换（NAT）以及对全部重要的安全性和隧道标准（如IPSec）和类似标准（如PPTP）的支持。PathBuilder隧道交换机还具有同时处理超过两千条隧道的能力。不仅如此，PathBuilder第三层隧道交换机还可以全面支持多协议路由以及对IP、IPX和全部其他重要协议的处理，因而可以满足用户和分支办公机构的原有需求。

    对于那些希望提供一次性VPN服务的ISP和电信运营商们，3COM公司可以提供Total control（r）多业务接入平台，如图2所示的是Total Control 1000多服务接入平台。

图2（点击看大图）

    Total control（r）多业务接入平台可以与PBS500平台共同使用来提供可管理的网络服务。这一多服务访问平台对于支持数以万计用户的服务提供商接入点（POP）而言，它是一种理想的解决方案。模块化、面向未来的设计可以通过软件升级和可安装的板卡增加新特性和功能，为下列情况提供最佳解决方案：

•要求增加端口密度的客户
•寻求用防火墙支援部署增强型虚拟专用网（VPN）服务的客户
•寻求降低设备成本的客户
•需要对所有端口提供IPSec线速加密的客户
•需要诸如服务类别（CoS）、组播和SS7等差异性产品服务的客户。

    另有两种产品被用来提供分支机构的VPN互联：为中型办公机构而设计的SuperStack（r）II NETBuilder（r）SI路由器和为小型办公机构而设计的OfficeConnect（r）NETBuilder路由器。分别如图3和图4所示。

图3（点击看大图）

 

图4（点击看大图）

    另外，3COM的PathBuilder S400广域网统一交换机可以为大型远程机构和中小型中心机构的VPN、VoIP和多协议数据路由提供充分集成化的解决方案，产品如图5所示。

图5（点击看大图）

    依用户特定需求的不同，以上这些VPN产品可以在不同规模的网络中扮演不同的角色。例如，小型医疗机构可能会需要利用PathBuilder隧道交换机通过Internet来发送对带宽要求较高的医疗图像，尽管PathBuilder交换机通常出现在大型企业网络之中。

    3COM的VPN解决方案在各个方面都已经比较成熟，能全面满足种类用户对VPN应用的需求，包括“远程访问VPN（Remote Access VPN）、内联VPN（Intranet VPN）和外联VPN（Extranet VPN）”。每一个方案都可以为移动工作者以及远程办公室提供对公用LAN所使用的IP应用的访问。另外，每一方案都可以实现具有集中、统一安全管理的安全电子商务应用。内联和外联VPN两个方案都是基于3COM Total control 1000多服务访问平台以及CommWorks3层结构之上。

    附上此之外，3COM公司学提供了目前主流的防火墙VPN解决方案，如图6所示的就是3COM的一款主流VPN防火墙产品3Com SupperStack3 Firewall图示。

图6（点击看大图）

    3Com SupperStack3 Firewall是目前3Com公司在防火墙VPN解决方案中的主要设备，它是设计用在公司的总部和大型分枝机构，或是需要高性能的虚拟专用网络访问的地方。它可应用于Internet安全分支机构VPN互连、远程办公人员接入 、部门之间/Intranet安全 、合作伙伴/Extranet安全等全面的VPN解决方案。

    3Com公司的每一款防火墙均被预设置以阻止拒绝服务（Dos）黑客的攻击，如Ping攻击，SYN攻击，LAND攻击和IP欺骗攻击。每一个经过ICSA验证过的防火墙均可以保护公司不受网络渗透，并且被预设置以阻止拒绝服务（DoS）黑客的攻击，如Ping攻击，SYN攻击，LAND攻击和IP欺骗攻击。

二、3COM公司VPN方案的安全性

    3COM公司的各个VPN方案都能提供与专线网络连接一样，甚至更好的网络安全保障。

    对于移动用户，3COM的解决方案可以做到在使其具备VPN访问能力的同时尽可能地减少对便携机中已有软件的影响。而且，便携机***作系统中还带有40位到128位的加密算法。用户建立了隧道后，在企业的中心端3COM有相应的企业级隧道交换机，负责接收来自全球各地的隧道信息。隧道交换机同样也具有安全性授权认证功能，为每一个通过隧道进入到企业网内部的用户分配其相应的权限，并阻止非授权用户的闯入。

    对于企业用户，采用3COM的VPN解决方案可以使企业VPN的能力得到大幅提高，轻易地实现企业网覆盖全球各个城市和地区，使各个能够接入Internet的地方都成为企业的一个潜在用户接入点。而此时企业需要管理的只是其隧道交换机及其用户授权机制，因此3COM解决方案的另一优势是减少了企业的管理成本。VPN通过拨号访问外部资源使企业可以减少或消除不断增长的Modem池，而通过减少Modem池，设备支持所需的大量人力或物力成本也可以被大量的减少尤其是当远端用户的支持设备从负载沉重的企业支持设备变为NSP的专用设备时这种成本的节约就更为显著了。企业可以采用这种方案将用户群扩展至全世界各地。

    在安全性方面，3COM的这种VPN解决方案中提高已有用户认证的安全性是通过两种方式来实现的：首先是使用更新、更为强大有力的用户认证方式；其次是通过支持MD5认证算法、一次性口令及通用令牌卡来提高认证的安全性。3COM VPN解决方案支持客户机、NETBuilder隧道交换机及安全服务器之间的双向消息/对话，还支持使用安全加密卡的多链路PPP认证。这些协议的客户机实现是在Windows2000系统上实现的。采用3COM的隧道交换技术还可以进一步加强VPN隧道的安全性。3COM的隧道交换技术可以在一个隧道交换机中进行多个隧道的起始和终结，同时对某个用户应该访问哪条相应的隧道作出判断。例如，某个想要访问市场部的用户通过拨号方式登录后，用户授权服务器会对用户的身份进行认证。在确定了用户的身份后为用户发起通向市场部的隧道。3COM的隧道交换技术可以使VPN更具可伸缩性，通过级联加密（Cascading Encryption）等手段使其适应移动用户数量的不断增长，并将安全性扩展至局域网的域用户管理之中。

    除此之外，3COM的VPN解决方案支持多协议的访问方式，用户可以在IP路由网络上通过隧道的方式运行IPX协议。它还支持DHCP（动态主机配置协议），DHCP服务器可以为到达隧道终点的授权用户自动分配一个内部有效的IP地址。3COM的VPN解决方案还支持一些更为强大的安全加密方式以及一些扩展的授权认证协议，比如采用令牌卡（Token Card）来实现的加密。3COM解决方案通过在隧道中加入对令牌卡加密方式的支持来实现VPN的令牌卡加密安全服务（Secure ID Card Service）。

  三、3COM公司VPN解决方案的优势

    在3COM的以上这些VPN解决方案相对其它厂商，特别那些中小型网络设备商所提供的VPN方案的VPN方案来说可以提供多个关键优势：

    （1）. 标准VPN支持：有些用户需要能够支持多厂商网络环境的、基于IETC/RFC标准的L2TP VPN协议，而该方案是为这些用户提供服务的服务提供商的理想选择。这些协议包括LTTP/PPTP两种全面的隧道协议以及具有3DES的IPSec安全协议的加密技术。3COM的VPN方案中包括三个主要方案：VPN集中器（VPNc）、VPN隧道（VPNt）以及VPN隧道交换（VPNts）的Total control 1000平台。
 
    （2）. 用户控制访问支持：该方案是寻求创建基于帧中继网络的VPN的用户的最佳选择，它包含3COM公司专有的、基于Customer Controlled Access（CCA）的VPN，可以提供标准的VPN服务以及附加的安全选择以及诸如虚拟终端协议、虚拟路由器以及永久虚拟电路等特性。

    （3）. 两个Lan-to-Lan VPN方案中所采用的Total control 1000平台可提供支持同时采用定制服务的众多用户所需要的可升级性。

    （4）. 它可提供专用网络的高性能、全面的安全性、服务配置功能以及服务质量。它可支持多种访问途径的VPN通信选择，包括电缆、无线、DSL以及远程访问。它还可以支持那些在当今市场中关键的增强服务，如：IP语音以及IP传真等。

    （5）. Total control 1000平台的软件设计可根据未来的需要进行升级，从而确保服务提供商能够经济地发展其系统与服务，以满足用户不断变化的需求。

    当然，3COM公司的VPN解决方案也和其他的企业VPN供应商一样，也具有下几个必备的特点：

    •完全的解决方案：经过广泛使用考验的线路，经济的VPN产品（安装3500000个端口），基于标准的和改良的VPN技术。
    •丰富的经验：3COM公司曾经在世界范围内建立主要的ISP接入和VPN基础结构。
    •强大的管理能力：在3COM VPN解决方案中提供了强大的基于Web的VPN管理工具提供基于策略的VPN配置和监控，可以优化网络资源。
    •优良的可扩展性：3COM VPN解决方案多协议支持，支持传统的应用，可以从小的企业扩展到最大的企业。
    •全面的服务质量控制：在3COM VPN解决方案中都具有完全实现服务质量控制能力，包括优化、协议保留和带宽扩展。

    另外在扩展性方面，3COM公司的VPN解决方案提供了比其他公司更加优良的解决方案。许多其它企业的VPN解决方案中一般存在两个缺陷：第一个缺陷是加密能力：如果一个方案无法实现以线路速度进行加密，它就会产生瓶颈；第二个缺陷是无法调度和引导VPN的数据流到网络上不同的管理域。3COM公司使用隧道交换结构技术解决了这两个问题。3COM公司的隧道交换机，像路由器一样，可以作为隧道创建和终结的设备。由于它们通常被应用在公司未加防范的区域，隧道交换机提高了VPN的安全性和管理能力，可以支持多种VPN应用。隧道交换机可以终结外部的VPN隧道并创建一个新的内部VPN隧道。因此，只有隧道交换机可以在内连网内根据VPN特定的点或管理域来分布数据。另外，由于隧道交换机可以重定向数据流到另外一个隧道终结设备（包括自身的加密处理）。加密可以扩展到很高的数据流。

    隧道交换可以带来经济效益，尤其是对于远程接入服务，超过了其他由非隧道交换VPN所带来的效益。这包括：

    •更大的网络灵活性，可以管理和发布不同类型的数据（例如雇员和供应商的数据）进入同一Internet连接。
    •使远端用户可以直接访问在网络特定区域内存在的资源。
    •组织内的各部门可以共享同一个Internet接口来管理各自的认证和授权。
    •支持现有的地址空间用法：在VPN终止于内连网时，企业可以继续使用他们自己的寻址方式。

    按照3COM公司的方案组建的VPN网络可以提供：

    •模拟和ISDN调制解调器
    •具有强大的加密功能的隧道终结
    •内置的监控和配置支持简单的安装和故障排除

    为了管理VPN，3COM公司可以提供功能强大的管理工具。这些工具可以实现：

    •基于Web的VPN监控：功能包括监控VPN的使用和事件，提供诊断和故障信息。
    •基于Web的配置管理：减少了中央网站为支持远端安装配置分支网站VPN所需的工作。通过软件所具有的智能，分支机构的隧道初始化设备可以准备就绪，只需要极少的用户输入。
    •支持通知策略：如果出现故障，当VPN告警被触发时，3COM公司的VPN管理系统将通知网络管理者，根据他们建立的策略。

    总结

    以上从总的几个方面对3COM公司的VPN解决方案进行了概述，从中可以看出，3COM的VPN解决方案非常全面，既有适用于一般VPN终端用户的VPN终端方案，也有适用于VPN服务提供商、运营商的VPN局端方案；既有适用于一般移动用户的远程访问VPN方案，也有适用于企业内、外联VPN通信方案；既有集中器、交换机VPN接入方案，又有目前主流的路由器和防火墙方案。当然它的主要优势还是充分发挥了它的特称，就是在交换机方面的技术领先优势。在后面几篇中我们将要针对目前VPN的三种应用介绍一下3COM公司的相应解决方案，其中有几篇是针对具体的产品应用。