2.2 NETGEAR VPN方案詳細(xì)介紹

如上圖所示，公司總部和各個(gè)分支機(jī)構(gòu)的通訊的屬于典型的“局域網(wǎng)――局域網(wǎng)”的架構(gòu)。多個(gè)局域網(wǎng)之間將有多個(gè)用戶及服務(wù)器需要進(jìn)行數(shù)據(jù)通信。在這種情況下， IPSec VPN 技術(shù)成為了首選。在總部及分支機(jī)構(gòu)中，各部署一臺(tái)具有IPSec VPN功能的設(shè)備，將可建立起一個(gè)跨越所有分公司的大型局域網(wǎng)。

同時(shí)，考慮到移動(dòng)用戶的接入，總部，或者大型分支機(jī)構(gòu)的VPN防火墻均需要有SSL VPN的功能需求。不同的分公司員工可通過SSL VPN訪問各自分公司的局域網(wǎng)內(nèi)部。

為部署一套健康穩(wěn)定的VPN方案，NETGEAR建議用戶需要優(yōu)先考慮幾個(gè)關(guān)鍵因素：

l INTERNET帶寬資源：總部與大型分支機(jī)構(gòu)的VPN通道需要承擔(dān)著各個(gè)分支機(jī)構(gòu)連接進(jìn)來的網(wǎng)絡(luò)流量，需要有負(fù)載所有分支或者50%分支網(wǎng)絡(luò)帶寬的準(zhǔn) 備。因此，總部與大型分支的INTERNET網(wǎng)絡(luò)帶寬，需要通過考察分支的訪問流量，按照分支可用流量的總和來規(guī)劃總部與大型分支的VPN帶寬，避免帶寬 問題成為VPN連接的瓶頸。另一方面，各個(gè)VPN分支之間的INTERNET建議盡量采用同個(gè)ISP的線路，避免ISP之間的網(wǎng)絡(luò)延時(shí)與阻塞而影響整個(gè) VPN網(wǎng)絡(luò)的質(zhì)量。

l INTERNET / VPN的訪問用戶數(shù)：VPN防火墻在負(fù)責(zé)VPN通道加密運(yùn)算的同時(shí)，也承擔(dān)著內(nèi)網(wǎng)所有用戶的INTERNET訪問。因此，內(nèi)網(wǎng)用戶規(guī)模也是選擇VPN防火 墻設(shè)備的一個(gè)重要參數(shù)。多少用戶訪問VPN、多少用戶訪問INTERNET，這個(gè)參數(shù)對(duì)于總部與所有分支均需要進(jìn)行評(píng)估，是確定VPN防火墻型號(hào)的一個(gè)重 要參考數(shù)據(jù)。

l INTERNET端口數(shù)量：普通用戶在使用VPN網(wǎng)絡(luò)時(shí)，只需要使用到1個(gè)INTERNET端口來連接ISP。但是在考慮到INTERNET鏈路的冗余與 帶寬擴(kuò)展時(shí)，相當(dāng)一部分用戶將考慮2個(gè)以上的INTERNET端口。根據(jù)實(shí)際的需求來選擇不同端口類型的VPN防火墻也是方案設(shè)計(jì)時(shí)的依據(jù)。

l VPN類型與數(shù)量：IPSEC VPN通道數(shù)量，直接決定了一臺(tái)VPN設(shè)備能夠與多少個(gè)分支機(jī)構(gòu)進(jìn)行連接，而SSL VPN數(shù)量則決定一臺(tái)VPN設(shè)備能夠接受多少個(gè)移動(dòng)用戶通過WEB來進(jìn)行VPN訪問。因此此兩個(gè)參數(shù)將決定一個(gè)方案的最大VPN容量，是VPN防火墻參數(shù)的重中之重。

NETGEAR公司針對(duì)各種不同的用戶規(guī)模需求，設(shè)計(jì)了由高端-中端-低端的各個(gè)層次的VPN防火墻。目前主流的型號(hào)由高端的SRX5308、中端的FVS336G及低端的FVS318G，用戶可以根據(jù)實(shí)際情況，優(yōu)化選擇不同檔次的 VPN 設(shè)備。有效的提高 VPN 網(wǎng)絡(luò)的性能價(jià)格比。

VPN防火墻的選擇，主要根據(jù)局域網(wǎng)中的用戶數(shù)量、需要連接的VPN數(shù)量及VPN功能。在如圖的案例中， SRX5308高端VPN防火墻毫無疑問成為總部的首選。SRX5308 VPN防火墻可承擔(dān)總部局域網(wǎng)中數(shù)以百計(jì)的用戶上網(wǎng)負(fù)載。SRX5308的IPSec VPN功能，將可接受由分公司連接過來的數(shù)十個(gè)VPN通道連接(最大連接125個(gè)分公司)。同時(shí)，SRX5308的SSL VPN功能，將可同時(shí)接受最多50個(gè)移動(dòng)用戶的基于Web的VPN訪問。

針對(duì)較為大型的分公司，F(xiàn)VS336G的部署，將滿足局域網(wǎng)中近百用戶的上網(wǎng)訪問需求。兩個(gè)千兆 WAN 端口采用負(fù)載均衡或鏈路備份，以確保最大的吞吐量和可靠地連接到互聯(lián)網(wǎng)上。而FVS336G的25個(gè)IPSec VPN通道的支持，承擔(dān)分公司與總公司之間的VPN通道連接將綽綽有余。FVS336G也支持10個(gè)的SSL VPN連接，方便分公司的員工在出差及移動(dòng)辦公時(shí)方便快捷地通過Web連接到公司內(nèi)部網(wǎng)絡(luò)。

最后，在小型分公司或分支機(jī)構(gòu)中，員工的數(shù)量少，流量小，此時(shí)企業(yè)需要一臺(tái)小型的VPN防火墻來實(shí)現(xiàn)VPN連接的需求。FVS318G是目前業(yè)界少有的高速小型VPN防火墻，具備8個(gè)千兆的高速以太網(wǎng)局域網(wǎng)接口，已可作為小型公司的局域網(wǎng)交換機(jī)使用。其5個(gè)IPSec VPN通道的支持，完全可安全連接至分公司及總公司的內(nèi)部局域網(wǎng)絡(luò)。是小型分支實(shí)施VPN的不二選擇。

2.3 NETGEAR 方案優(yōu)勢(shì)說明

由于 SSL VPN 的這些獨(dú)特優(yōu)勢(shì)，SSL VPN 越來越被一些客戶所接受。用戶對(duì)VPN防火墻的需求，從早年的單純IPSec VPN防火墻，已經(jīng)上升至IPSec VPN與SSL VPN統(tǒng)一的統(tǒng)一VPN防火墻設(shè)備。作為業(yè)界領(lǐng)先的 VPN 設(shè)備制造商美國 NETGEAR 公司，在提供 IPSec VPN 接入技術(shù)的同時(shí)也提供了新型的 SSL VPN 接入設(shè)備―― SRX5308、FVS336G 及UTM系列等設(shè)備，為用戶提供更加多樣的選擇和全方位的 VPN 互聯(lián)解決方案，使用戶能夠從NETGEAR公司贏得：

1. 高速的多分支局域網(wǎng)VPN互聯(lián)：NETGEAR公司引領(lǐng)IT技術(shù)潮流，即使是在低端的FVS318G、中端的FVS336G等VPN防火墻上，均提供全千兆的局域網(wǎng)及廣域網(wǎng)接口，為企業(yè)提供高速的網(wǎng)絡(luò)接入及VPN互聯(lián);

2. 零客戶端的SSL VPN接入：隨著移動(dòng)互聯(lián)技術(shù)的飛速發(fā)展，移動(dòng)辦公已經(jīng)成為了工作中不可或缺的重要環(huán)節(jié)。而SSL VPN可為移動(dòng)辦公提供更好更快更易的接入。NETGEAR公司的大部分VPN防火墻及UTM系列的安全產(chǎn)品，均已內(nèi)置了SSL VPN功能，無須另外付費(fèi)，為客戶的各項(xiàng)不同需求考慮周全。

3. SMART IT易配置：NETGEAR公司的設(shè)備秉承智能IT的理念，為所有VPN防火墻設(shè)計(jì)了一套簡(jiǎn)單易用的WEB管理界面，各種技術(shù)層次的IT管理人員均可輕松管理維護(hù)NETGEAR的VPN防火墻設(shè)備。

三、NETGEAR關(guān)鍵產(chǎn)品列表

wanglin