2.2 NETGEAR VPN方案详细介绍

如上图所示，公司总部和各个分支机构的通讯的属于典型的“局域网――局域网”的架构。多个局域网之间将有多个用户及服务器需要进行数据通信。在这种情况下， IPSec VPN 技术成为了首选。在总部及分支机构中，各部署一台具有IPSec VPN功能的设备，将可建立起一个跨越所有分公司的大型局域网。

同时，考虑到移动用户的接入，总部，或者大型分支机构的VPN防火墙均需要有SSL VPN的功能需求。不同的分公司员工可通过SSL VPN访问各自分公司的局域网内部。

为部署一套健康稳定的VPN方案，NETGEAR建议用户需要优先考虑几个关键因素：

l INTERNET带宽资源：总部与大型分支机构的VPN通道需要承担着各个分支机构连接进来的网络流量，需要有负载所有分支或者50%分支网络带宽的准 备。因此，总部与大型分支的INTERNET网络带宽，需要通过考察分支的访问流量，按照分支可用流量的总和来规划总部与大型分支的VPN带宽，避免带宽 问题成为VPN连接的瓶颈。另一方面，各个VPN分支之间的INTERNET建议尽量采用同个ISP的线路，避免ISP之间的网络延时与阻塞而影响整个 VPN网络的质量。

l INTERNET / VPN的访问用户数：VPN防火墙在负责VPN通道加密运算的同时，也承担着内网所有用户的INTERNET访问。因此，内网用户规模也是选择VPN防火 墙设备的一个重要参数。多少用户访问VPN、多少用户访问INTERNET，这个参数对于总部与所有分支均需要进行评估，是确定VPN防火墙型号的一个重 要参考数据。

l INTERNET端口数量：普通用户在使用VPN网络时，只需要使用到1个INTERNET端口来连接ISP。但是在考虑到INTERNET链路的冗余与 带宽扩展时，相当一部分用户将考虑2个以上的INTERNET端口。根据实际的需求来选择不同端口类型的VPN防火墙也是方案设计时的依据。

l VPN类型与数量：IPSEC VPN通道数量，直接决定了一台VPN设备能够与多少个分支机构进行连接，而SSL VPN数量则决定一台VPN设备能够接受多少个移动用户通过WEB来进行VPN访问。因此此两个参数将决定一个方案的最大VPN容量，是VPN防火墙参数的重中之重。

NETGEAR公司针对各种不同的用户规模需求，设计了由高端-中端-低端的各个层次的VPN防火墙。目前主流的型号由高端的SRX5308、中端的FVS336G及低端的FVS318G，用户可以根据实际情况，优化选择不同档次的 VPN 设备。有效的提高 VPN 网络的性能价格比。

VPN防火墙的选择，主要根据局域网中的用户数量、需要连接的VPN数量及VPN功能。在如图的案例中， SRX5308高端VPN防火墙毫无疑问成为总部的首选。SRX5308 VPN防火墙可承担总部局域网中数以百计的用户上网负载。SRX5308的IPSec VPN功能，将可接受由分公司连接过来的数十个VPN通道连接(最大连接125个分公司)。同时，SRX5308的SSL VPN功能，将可同时接受最多50个移动用户的基于Web的VPN访问。