隧道交换机是3COM公司主要VPN产品解决方案的核心,也是3COM公司VPN技术的核心所在,所以3COM公司的隧道交换机VPN方案具有非常鲜明的特色,因为在一般的VPN通信中,路由器是VPN隧道的开启和终止器,而3COM的隧道交换机VPN方案中,VPN隧道的开启和终止器是由隧道交换机担当的。下面先来简单了解一下3COM公司的隧道交换机。
一、3COM VPN隧道交换机概述
3COM的VPN隧道交换机是3COM VPN硬件解决方案中的主要设备,隧道交换机是VPN隧道启动器/终结器的结合体。目前3COM公司主要有S400和S500两个系列,多款产品。3COM的隧道交换机可以用于将隧道从一个网络扩展到另一个网络,例如将隧道从 ISP的网络扩展到企业网上;也可以用来将点到点的连接变成从点连接到交换设施,再到点的连接,尽管发生在有路由选择的网络上,运行起来却仍象是一种专用电话的交换电路。
网络服务供给商(NSP)可以用隧道交换机,根据不同用户的情况,灵活有效地直接向用户提供服务,甚至可以通过适当的端点和服务质量(QoS)处理,将同一帐户的不同用户放入隧道中。如NSP可以将优先级较高的用户放入高速光纤或用隧道交换机来避免网络站点堵塞。在NSP中,利用VPN隧道交换机组建VPN网络的结构如图1所示。
图1
企业也能从隧道交换机中获益。例如,公司增强了治理其远程接入网络资源的能力,同时又可以相应地提高防火墙的安全性。根据用户的姓名可以在 RADIUS中查找到信息,交换机便启动一个隧道,穿过防火墙,连接到特定的内部服务器上。交换过程增加了网络应用和资源的接入机会,同时又保证了防火墙的完整性,提高了防火墙的性能。企业获得的益处还有对服务器接入 VPN业务负载的平衡功能、增加 ip寻址的灵活性等。
隧道交换机含有隧道终止器和隧道开通器,通常设置在非军事区中,也就是公司内、外部防火墙之间,这样既使远程用户可以访问防火墙后面的某些资源,又可以增加VPN的安全性。在企业内部使用VPN隧道交换机组建VPN网络的结构如图2所示。
图2
在如图2所示结构网络中,隧道交换机在收到VPN信息流之后,将对用户进行RADIUS(远程授权拨入用户服务)检查,查验合格后就开通一条穿过防火墙的新隧道,直达指定的内部服务器,把VPN信息流送到这个服务器。这些服务器是隧道的最后终点,其中含有用户的具体情况和访问权限等信息,因而可对VPN数据进行更严格的合法性检查,并可提供更多的服务。
隧道交换机带来以下的好处:
(1)为了支持许多VPN应用,防火墙只需打开一个通道。由于各种IP应用(如FTP、Telnet等)都被封装在隧道协议里,并经由隧道交换机向内部网络延伸。
(2)很轻易区别对待远程职工的信息流和合作伙伴与客户的信息流。隧道交换机能够把不同类型用户经由同样的Internet接口传来的隧道转接到不同的地点,于是便可以对它们执行不同的安全政策。这使网络治理人员很轻易查看和控制Extranet的活动,并根据本企业与合作伙伴的关系迅速作出调整。
(3)各部门既可以共用一个Internet接口,又可以各自执行自己的用户审批与访问控制政策。隧道交换机把隧道逼到每个部门的LAN,再由各个部门按自己的方式去控制远程用户的访问权。
(4)可以最终利用IP地址空间。隧道交换机使VPN信息流可以进入内部网络,那里的地址空间比非军事区的地址空间大得多。但企业为这些隧道终点设定的地址是NSP无法知道的,这提高了VPN的安全性。
使远程用户很轻易成为VLAN(虚拟LAN)的成员。VLAN可以改善网络的效率,这是因为不管用户走到哪里,他所需的信息就能送到哪里。但是,假如在VPN中没有隧道交换机的话,所有输入的VPN信息流只能送到同一个VLAN,因为VLAN通常是根据用户接入的集线器端口来指定VLAN成员的。隧道交换机可以把隧道信息流送到不同地点的不同隧道终止器,也就是能够把远程用户接入不同的端口,因而很轻易把远程用户分配到不同的VLAN。