2.2 NETGEAR VPN方案詳細介紹

如上圖所示，公司總部和各個分支機構的通訊的屬于典型的“局域網――局域網”的架構。多個局域網之間將有多個用戶及服務器需要進行數(shù)據通信。在這種情況下， IPSec VPN 技術成為了首選。在總部及分支機構中，各部署一臺具有IPSec VPN功能的設備，將可建立起一個跨越所有分公司的大型局域網。

同時，考慮到移動用戶的接入，總部，或者大型分支機構的VPN防火墻均需要有SSL VPN的功能需求。不同的分公司員工可通過SSL VPN訪問各自分公司的局域網內部。

為部署一套健康穩(wěn)定的VPN方案，NETGEAR建議用戶需要優(yōu)先考慮幾個關鍵因素：

l INTERNET帶寬資源：總部與大型分支機構的VPN通道需要承擔著各個分支機構連接進來的網絡流量，需要有負載所有分支或者50%分支網絡帶寬的準 備。因此，總部與大型分支的INTERNET網絡帶寬，需要通過考察分支的訪問流量，按照分支可用流量的總和來規(guī)劃總部與大型分支的VPN帶寬，避免帶寬 問題成為VPN連接的瓶頸。另一方面，各個VPN分支之間的INTERNET建議盡量采用同個ISP的線路，避免ISP之間的網絡延時與阻塞而影響整個 VPN網絡的質量。

l INTERNET / VPN的訪問用戶數(shù)：VPN防火墻在負責VPN通道加密運算的同時，也承擔著內網所有用戶的INTERNET訪問。因此，內網用戶規(guī)模也是選擇VPN防火 墻設備的一個重要參數(shù)。多少用戶訪問VPN、多少用戶訪問INTERNET，這個參數(shù)對于總部與所有分支均需要進行評估，是確定VPN防火墻型號的一個重 要參考數(shù)據。

l INTERNET端口數(shù)量：普通用戶在使用VPN網絡時，只需要使用到1個INTERNET端口來連接ISP。但是在考慮到INTERNET鏈路的冗余與 帶寬擴展時，相當一部分用戶將考慮2個以上的INTERNET端口。根據實際的需求來選擇不同端口類型的VPN防火墻也是方案設計時的依據。

l VPN類型與數(shù)量：IPSEC VPN通道數(shù)量，直接決定了一臺VPN設備能夠與多少個分支機構進行連接，而SSL VPN數(shù)量則決定一臺VPN設備能夠接受多少個移動用戶通過WEB來進行VPN訪問。因此此兩個參數(shù)將決定一個方案的最大VPN容量，是VPN防火墻參數(shù)的重中之重。

NETGEAR公司針對各種不同的用戶規(guī)模需求，設計了由高端-中端-低端的各個層次的VPN防火墻。目前主流的型號由高端的SRX5308、中端的FVS336G及低端的FVS318G，用戶可以根據實際情況，優(yōu)化選擇不同檔次的 VPN 設備。有效的提高 VPN 網絡的性能價格比。

VPN防火墻的選擇，主要根據局域網中的用戶數(shù)量、需要連接的VPN數(shù)量及VPN功能。在如圖的案例中， SRX5308高端VPN防火墻毫無疑問成為總部的首選。SRX5308 VPN防火墻可承擔總部局域網中數(shù)以百計的用戶上網負載。SRX5308的IPSec VPN功能，將可接受由分公司連接過來的數(shù)十個VPN通道連接(最大連接125個分公司)。同時，SRX5308的SSL VPN功能，將可同時接受最多50個移動用戶的基于Web的VPN訪問。

針對較為大型的分公司，F(xiàn)VS336G的部署，將滿足局域網中近百用戶的上網訪問需求。兩個千兆 WAN 端口采用負載均衡或鏈路備份，以確保最大的吞吐量和可靠地連接到互聯(lián)網上。而FVS336G的25個IPSec VPN通道的支持，承擔分公司與總公司之間的VPN通道連接將綽綽有余。FVS336G也支持10個的SSL VPN連接，方便分公司的員工在出差及移動辦公時方便快捷地通過Web連接到公司內部網絡。

最后，在小型分公司或分支機構中，員工的數(shù)量少，流量小，此時企業(yè)需要一臺小型的VPN防火墻來實現(xiàn)VPN連接的需求。FVS318G是目前業(yè)界少有的高速小型VPN防火墻，具備8個千兆的高速以太網局域網接口，已可作為小型公司的局域網交換機使用。其5個IPSec VPN通道的支持，完全可安全連接至分公司及總公司的內部局域網絡。是小型分支實施VPN的不二選擇。

2.3 NETGEAR 方案優(yōu)勢說明

由于 SSL VPN 的這些獨特優(yōu)勢，SSL VPN 越來越被一些客戶所接受。用戶對VPN防火墻的需求，從早年的單純IPSec VPN防火墻，已經上升至IPSec VPN與SSL VPN統(tǒng)一的統(tǒng)一VPN防火墻設備。作為業(yè)界領先的 VPN 設備制造商美國 NETGEAR 公司，在提供 IPSec VPN 接入技術的同時也提供了新型的 SSL VPN 接入設備―― SRX5308、FVS336G 及UTM系列等設備，為用戶提供更加多樣的選擇和全方位的 VPN 互聯(lián)解決方案，使用戶能夠從NETGEAR公司贏得：

1. 高速的多分支局域網VPN互聯(lián)：NETGEAR公司引領IT技術潮流，即使是在低端的FVS318G、中端的FVS336G等VPN防火墻上，均提供全千兆的局域網及廣域網接口，為企業(yè)提供高速的網絡接入及VPN互聯(lián);

2. 零客戶端的SSL VPN接入：隨著移動互聯(lián)技術的飛速發(fā)展，移動辦公已經成為了工作中不可或缺的重要環(huán)節(jié)。而SSL VPN可為移動辦公提供更好更快更易的接入。NETGEAR公司的大部分VPN防火墻及UTM系列的安全產品，均已內置了SSL VPN功能，無須另外付費，為客戶的各項不同需求考慮周全。

3. SMART IT易配置：NETGEAR公司的設備秉承智能IT的理念，為所有VPN防火墻設計了一套簡單易用的WEB管理界面，各種技術層次的IT管理人員均可輕松管理維護NETGEAR的VPN防火墻設備。

三、NETGEAR關鍵產品列表

wanglin