隧道交换机是3COM公司主要VPN产品解决方案的核心，也是3COM公司VPN技术的核心所在，所以3COM公司的隧道交换机VPN方案具有非常鲜明的特色，因为在一般的VPN通信中，路由器是VPN隧道的开启和终止器，而3COM的隧道交换机VPN方案中，VPN隧道的开启和终止器是由隧道交换机担当的。下面先来简单了解一下3COM公司的隧道交换机。

一、3COM VPN隧道交换机概述

3COM的VPN隧道交换机是3COM VPN硬件解决方案中的主要设备，隧道交换机是VPN隧道启动器/终结器的结合体。目前3COM公司主要有S400和S500两个系列，多款产品。3COM的隧道交换机可以用于将隧道从一个网络扩展到另一个网络，例如将隧道从 ISP的网络扩展到企业网上；也可以用来将点到点的连接变成从点连接到交换设施，再到点的连接，尽管发生在有路由选择的网络上，运行起来却仍象是一种专用电话的交换电路。

网络服务供应商（NSP）可以用隧道交换机，根据不同用户的情况，灵活有效地直接向用户提供服务，甚至可以通过适当的端点和服务质量（QoS）处理，将同一帐户的不同用户放入隧道中。如NSP可以将优先级较高的用户放入高速光纤或用隧道交换机来避免网络站点堵塞。

企业也能从隧道交换机中获益。例如，公司增强了管理其远程接入网络资源的能力，同时又可以相应地提高防火墙的安全性。根据用户的姓名可以在 RADIUS中查找到信息，交换机便启动一个隧道，穿过防火墙，连接到特定的内部服务器上。交换过程增加了网络应用和资源的接入机会，同时又保证了防火墙的完整性，提高了防火墙的性能。企业获得的益处还有对服务器接入 VPN业务负载的平衡功能、增加 IP寻址的灵活性等。

隧道交换机含有隧道终止器和隧道开通器，通常设置在非军事区中，也就是公司内、外部防火墙之间，这样既使远程用户可以访问防火墙后面的某些资源，又可以增加VPN的安全性。

隧道交换机在收到VPN信息流之后，将对用户进行RADIUS（远程授权拨入用户服务）检查，查验合格后就开通一条穿过防火墙的新隧道，直达指定的内部服务器，把VPN信息流送到这个服务器。这些服务器是隧道的最后终点，其中含有用户的详细情况和访问权限等信息，因而可对VPN数据进行更严格的合法性检查，并可提供更多的服务。

隧道交换机带来以下的好处：

（1）为了支持许多VPN应用，防火墙只需打开一个通道。由于各种IP应用（如FTP、Telnet等）都被封装在隧道协议里，并经由隧道交换机向内部网络延伸。

（2）很容易区别对待远程职工的信息流和合作伙伴与客户的信息流。隧道交换机能够把不同类型用户经由同样的Internet接口传来的隧道转接到不同的地点，于是便可以对它们执行不同的安全政策。这使网络管理人员很容易查看和控制Extranet的活动，并根据本企业与合作伙伴的关系迅速作出调整。

（3）各部门既可以共用一个Internet接口，又可以各自执行自己的用户审批与访问控制政策。隧道交换机把隧道逼到每个部门的LAN，再由各个部门按自己的方式去控制远程用户的访问权。

（4）可以最终利用IP地址空间。隧道交换机使VPN信息流可以进入内部网络，那里的地址空间比非军事区的地址空间大得多。但企业为这些隧道终点设定的地址是NSP无法知道的，这提高了VPN的安全性。

使远程用户很容易成为VLAN（虚拟LAN）的成员。VLAN可以改善网络的效率，这是因为不管用户走到哪里，他所需的信息就能送到哪里。但是，如果在VPN中没有隧道交换机的话，所有输入的VPN信息流只能送到同一个VLAN，因为VLAN通常是根据用户接入的集线器端口来指定VLAN成员的。隧道交换机可以把隧道信息流送到不同地点的不同隧道终止器，也就是能够把远程用户接入不同的端口，因而很容易把远程用户分配到不同的VLAN。

二、主要VPN隧道交换机产品介绍

上面我们介绍到，在3COM公司中目前主要有两个VPN隧道交换机产品，但包括多款适用于不同应用环境的机型，下面介绍两款主要产品。

1. 3COM PathBuilder S400隧道交换机及应用

PathBuilder S400（PB S400）广域网统一交换机是一个全合一的广域网（WAN）交换机，它系统集成了虚拟专网（VPN）、话音/数据统一和多协议路由等功能。

各企业日益需要能够支持电子商务、呼叫中心和其它统一网络应用的解决方案，3COM公司的产品家族正好满足了这种需要。PathBuilder S400交换机最适用于需要T1或多T1带宽的企业远程大办公室和较小的办公室。

PathBuilder S400广域网统一交换机在VPN应用方面，利用基于标准的隧道技术来同时支持256条点对点和点对客户端的安全IP隧道。支持两个主VPN客户端、Microsoft Windows PPTP客户端和3COM公司的Dynamic Access VPN客户端（IPSec）。内置的3COM专用集成电路（ASIC）提供基于硬件的加密能力，给用户带来可以按照数据加密标准（DES）和3DES加密级支持线速T1/E1和多T1带宽的可扩展性。同时提供无加密、56位加密、128位强加密以及3DES多协议加密软件，用户可以根据需要选择。

该交换机提供许多安全性能，其中包括获ICSA认证的防火墙，用于保护该处免遭外来入侵。-与3COM公司的其它VPN和路由平台一样，PathBuilderS400交换机也运行3COM公司的企业WAN软件，保证了完全基于标准的互操作性并简化了管理。

PathBuilder S400交换机支持3COM公司的久经考验的多协议路由套件。除了支持各种传统协议之外，PathBuilder S400还支持基于策略的交换，即能够根据信息流的类型把信息流切换到帧中继、VPN或T1线路上。基于策略的交换使网络管理人员可以依据信息流类型决定服务质量和服务费用。该平台还支持利用先进的IP协议如Multicast IP路由协议来传输视像。

PathBuilder S400交换机支持3COM成熟的多协议路由套件。它可以支持策略路由，基于不同的流量类型通过帧中继、VPN或T1/E1线路进行交换。该平台还支持利用高级IP协议（多址联播IP路由）来进行视频传输。

PathBuilder S400交换机与3COM公司的NETBuilder路由器系列互为补充，运行NETBuilder路由器上运行的同一路由软件。

在VPN方案的实施过程中，3COM公司新的PathBuilder S400广域网统一交换机通常被置于本地销售机构中，以便对需要经常使用电话来进行工作的销售代表进行支持。这种统一联网解决方案比起单独的话音系统在利用成本方面要更有效率。

PathBuilder S400广域网统一交换机可以为机构之间和移动用户的通信同时支持多达256个安全IP隧道。这对于需要一条或多条T1带宽的机构来说尤为重要。利用基于标准的隧道技术，交换机可以为多达12部模拟电话、传真机和数字/模拟PBX系统提供可扩展的语音连接。为了使话音呼叫能够在数据网络上传输，该解决方案提供对VoIP、FoIP、VoFR以及基于标准的语音压缩功能的支持。此外，交换机的高级服务质量（QoS）特性可在将话音质量的损失降至最低的条件下支持统一的语音和数据流量。

2. 3COM PathBuilder S500系列隧道交换机及应用

3COM公司新的PathBuilder S500（PB S500）第三层系列隧道交换机是3COM公司VPN通信核心组件，是专为VPN网络应用而设计的．

这个系列的隧道交换机是专门设计用来处理企业中心机构和运营商架构中不断增加的VPN带宽需求的，因而可以提供无以伦比的性能（采用DES算法加密时高于166Mbps）。除了完成标准的隧道终结与加密功能外，PB S500家族还可以实现隧道交换功能，还可以在一些关键性的领域中实现安全性保护，其中包括集成化的、经过ICSA认证的防火墙、网络地址转换（NAT）以及对全部重要的安全性和隧道协议标准（如IPSec、PPTP和L2TP）提供支持。PathBuilder隧道交换机还具有同时处理超过两千条隧道的能力。不仅如此，PathBuilder S500第三层隧道交换机还可以全面支持多协议路由以及对IP、IPX和全部其他重要协议的处理，因而可以满足用户和分支办公机构的原有需求。

PB S500家族拥有用于不同业务的一系列模块，这些模块就为企业VPN业务的不同需求提供保证。

在PB S500系列广域网隧道交换机中主要包括：PathBuilder S580 LAN plus8 FlexWAN隧道交换机、PathBuilder S590、PathBuilder S593和S598 UltraWAN隧道交换机四款，它们的外观基本上差不多。这些交换机均可以提供超过100Mbps的线速加密性能。两个10/ 100兆以太网端口可以为局域网之间的隧道交换和加密提供高速连接，也可以将它简单地用作局域网间的路由器。

其中PathBuilder S580 LAN plus8 FlexWAN隧道交换机具备了S500产品系列所有的优势外，并可以通过FlexWAN端口直接与广域网相联。适配器电缆可以提供所需的接口，并可以支持高达2Mbps每端口的带宽。在一个企业网的环境中它还可以被用作多端口路由器，用来在办公机构之间建立安全连接。PathBuilder 580的意义则在于，如果用户不需要T3/E3那么大的带宽，它可以为用户提供8个2M的T1/E1端口。

PathBuilder 593产品在硬件配置上与PathBuilder 500是一样的，只是在广域网连接方面为集成化的DSU/CSU增加了两个T3/E3 HSSI/BNC接头，使企业可以通过T3或E3联入Internet。

PathBuilder S590和S598 UltraWAN隧道交换机是从S500系列产品中延伸出来的，可以支持通道化的E1/T1、分片E1/T1、G.703E1和PRI线路。除了上述好处之外，S590和S598在与广域网相联方面有着更多的灵活性，可以支持多达240条64K的远程地区与中心地区的安全连接，而不必像传统的路由器解决方案那样使用广域网延伸器或采用ISDN链路作为拨号备份。S590是目前应用最广的一款隧道交换机，它在整个3COM VPN产品线中是最强大和最具可伸缩性的。

PathBuilder S590隧道交换机产品家族中的每一个成员都可以在一个独立的系统中提供集成化和可管理的路由器、防火墙和端到端的VPN能力。这对于那些向企业提供可管理的VPN外包服务的大型企业或ISP和NSP来说是非常理想的。每一部交换机都可以为移动用户、端到端连接和企业合作伙伴的连接同时支持超过2000条VPN隧道。这些交换机可以以较其他竞争性产品高2～3倍的速度实现166 Mbps的线速加密带宽。

在性能方面，在这些隧道交换机中用于进行安全加密的ASICs芯片非常出色。目前为止，3COM是唯一能够提供线速加密的VPN隧道的厂商。

总的来说3COM的PathBuilder S500系列隧道交换机具有以下几个方面的优点：

•在性能方面，新的高性能的处理器结构带有加密支持，可以以100+Mbps的线速度进行加密。

•在可扩展性方面，3COM公司的高级隧道交换技术支持超过2000个同时存在的隧道，支持单用户的组合和共享LAN。

•在安全性方面，交换机通过加密、ICSA防火墙、网络地址翻译（NAT）技术和最新的确认服务来提供基于标准的安全性。

•在VPN管理方面，交换机提供的Transcend-Security VPN Manager提供一个易于使用的图形用户界面来监控隧道信息，包括会话统计、QoS、安全疏漏和潜在的故障因素。

•交换机提供完全多协议的路由能力，可以以线速度路由非加密的和加密的数据流。

•支持动态故障恢复的VRRP（虚拟路由器冗余协议）和3COM公司的RPS（冗余电源）和UPS（不间断电源）实现了灵活性的容错。

除了实现VPN功能之外，3COM公司的PathBuilder S500系列隧道交换机的一个主要特性是它能够在多协议网络和VPN环境中以完全的线速度进行路由的能力。这是其他VPN设备所不具备的。同时它提供方便的迁移到VPN的手段和备份选择来适应不断变化的网络需求。PathBuilder S580隧道交换机向用户提供了一个全面的、灵活的WAN服务平台。FlexWAN端口支持租用的拨号线路、帧中继、X.25和SMDS专用线路。

PathBuilder S500系列隧道交换机除了作为VPN交换机机外，还可作为先进的路由器使用，也就是说它也具有一先进的路由功能．

综上所述，可以看出，3COM的隧道交换机方案是独具特色，主是适用于大中型企业和网络服务提供商。同时3COM公司PB S500系列VPN隧道交换机还可以作为先进的路由器在各种网络应用中应用，大大加强了交换机的应用范畴，从中也体现了交换机与路由器技术相互渗透的趋势，必将成为未来交换机产品技术发展的重要方向。