防火墙、入侵检测防御等安全系统通常能够有效的在内外网之间建立一道安全萤幕障，以保障区域网路重要区域的安全。但是由于数据共享的需要，区域网路的重要数据不可避免的要在区域网路端到端之间以及内外网之间进行传输，如果重要数据在传输的过程中是明文形式，那幺一旦被非法内外网用户捕获，后果就非常可怕；同时内部的病毒和黑客也会因为重要数据共享时传播，怎幺办？据统计，在安全事故造成的损失中，有75%以上来自于内部，作为我们用户体系，这个区域网路的概念很大，既可以说是党政专网，也包括银行税务等横向单位形成的网域、或者上下级单位之间所形成的网域，等等，所以这种传输过程中的安全一旦出了事故的话，所牵涉到的环境非常複杂，后果也会非常严重。

Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新，是在总结了IPSec VPN和SSL VPN的优缺点以后，提出的一种全新的解决方案。

Socks5 VPN运行在会话层，并且提供了对套用数据和套用协定的可见性，使网路管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理，通过代理可以将用户实际的网路请求转发给套用伺服器，从而实现远程访问的能力。

在实现上，通过在用户机器上安装Socks5 VPN瘦客户端，由瘦客户端监控用户的远程访问请求，并将这些请求转化成代理协定可以识别的请求并传送给Socks5 VPN伺服器进行处理，Socks5 VPN伺服器则根据传送者的身份执行相应的身份认证和访问控制策略。在这种方式上，Socks5 VPN客户端和Socks5 VPN伺服器扮演了中间代理的角色，可以在用户访问远程资源之前执行相应的身份认证和访问控制，只有通过检查的合法数据才允许流进套用伺服器，从而有力保护了组织的内部专用网路。

Socks5 VPN与传统的L2TP、IPSec 等VPN相比：

有效地避免了黑客和病毒通过VPN隧道传播的风险，而这些风险是防火墙和防病毒难以克服的，因为他们已经把VPN来访作为安全的授信用户。

基于会话层实现的VPN最佳化了访问套用和资源提供细粒度的访问控制

基于代理模式的会话层数据转发减少了隧道传输过程中的数据冗余，从而取得了传统VPN无法媲美的传输效率

Socks5 VPN同时又保证了对套用的兼容性，避免SSL VPN的以下三大难题：

因为运行在会话层，非套用层，支持传输层以上的所有网路应用程式的访问请求，支持所有TCP套用，无须如SSL VPN那样通过複杂的协定转换来支持各种不同套用所导致的效率损失和很多套用不兼容的两大难题。

还克服了SSL VPN只能组建单向星状网路的尴尬局面，满足了双向互访、多向网状、星状访问的複杂网路环境。

由于IPSec VPN打通了网路底层，一旦被侵入，整个网路都将暴露，建立隧道后，远程PC就像物理地运行在最终用户重要资料库伺服器所在的区域网路上一样，相当于为远程访问者敞开了访问所有资源的大门，并对全部网路可视，为最终用户关键数据带来了安全风险，所以非常容易成为黑客攻击的目标。而且一旦异地客户端被黑客利用，他们会通过VPN访问组织内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。

作为架构在会话层的Socks5 VPN，在VPN伺服器端，系统有效地禁止了的网路结构，也禁止了常见的网路攻击手段，如PING、UDP、ICMP包等，系统根据授权与认证访问授信网路；在VPN的客户端，可以指定特定的应用程式才能发起连线，连线到VPN伺服器，完成套用的代理过程，根据这个控制，不仅可以实现精细的访问控制功能，重要的是可以阻止病毒和程式不能通过VPN隧道传输到VPN伺服器端，有效保护了伺服器端数据资源受到安全防範措施弱的异地端的威胁。

Socks5 VPN适应于所有的TCP套用，用来实现安全的远程接入，外网用户不能通过VPN探测到内部网路结构，因此不会将不设防的内联网伺服器暴露。这样如果受到攻击，也可以避免载有重要数据的伺服器遭受攻击。

衡量任何一个安全产品的安全指标时，身份认证和访问控制是两个最基本的参考因素。Socks5 VPN安全互联繫统在安全指标方面提供了双因素的用户身份认证，以及基于IP、连线埠和套用协定的访问控制能力。

身份认证模组可以有效地鉴别来访用户的身份信息，以及确定其是否具有访问受控网路资源的许可权。传统的身份认证机制往往採用的是简单的用户名和密码的形式，在进行身份信息确认的过程中，通常也是採用明文方式来传送身份信息，比如不支持HTTPS的WEB邮件系统就是一个典型的例子。这种通过明文方式来进行身份信息认证的过程是非常危险的，攻击者可以很轻鬆的利用一些常用的嗅探工具（如Sniffer Pro）就可以得到用户的身份信息。

Socks5 VPN安全互联繫统在身份认证上提供了简单安全可靠的双因素认证方式，既支持传统的用户名/密码认证方式，也支持更为安全的硬体KEY认证方式，不同的认证方式适合安全需求不同的客户。对于上述的用户名/密码及硬体KEY认证，它们认证的过程是统一的，唯一的区别在于硬体KEY是提供用户身份信息的唯一途径，只有拥有该硬体KEY的用户才能合法登录VPN系统并访问受控的资源。

此外，在唯一表示用户身份信息的同时，VPN伺服器还可以鉴别硬体设备的唯一性。换句话说，在进行授权的同时既授权用户的身份信息，同时也授权了用户所使用的机器硬体信息，这种授权方式特别适合防止办公人员在认证了的办公机器以外的终端上登录并获取用户的安全保密信息，从而防止机密信息的外泄。

访问控制可以保护受控网路资源，切断非法用户或受限用户对其进行非法访问。评价一个系统是否具有比较高的安全性能指标，一个重要因素就是看该系统提供的访问控制粒度。作为一个好的安全系统，细粒度的访问控制是至关重要的。

Socks5 VPN安全互联繫统支持基于IP位址、连线埠和套用的访问控制策略，从而方便网路管理员对套用资源进行更为安全的配置。在访问控制的具体实现上，访问控制模组维护了一个全局的访问控制列表，列表中定义了每一个用户的访问许可权，包括被访问资源的IP位址、连线埠号及可以被RDP执行的应用程式。可以用一棵资源树型图简单的表示其结构：

图1

每一项网路资源都拥有若干种访问许可权属性，上图简单列出了最基本的访问许可权属性，包括IP位址、连线埠、用户身份、应用程式路径等属性信息。当远程用户发出套用资源访问请求时，访问控制模组可以根据该请求所包含的如下信息：IP位址、连线埠号、用户身份、套用协定（协定分析模组分析而得）判定用户的请求是否合法，从而决定是否允许用户进行远程访问网路资源。

基于上面的用户许可权树，访问控制模组对每一个用户远程访问网路资源的请求作如下过程的解析：

图2

Socks5 VPN整个系统架构在作业系统的会话层，所以系统的安装十分简单，使用相当方便，绿色的VPN，相比SSL VPN的ActiveX安装，Socks5 VPN的使用也是十分简单，并且对原有的作业系统没有任何影响。

Socks5 VPN成为一种有客户端但在客户端免安装、零配置的解决方案，可以节省安装和维护成本，同时VPN SERVER端一旦升级，客户端自动升级，无须人工干预。IPSec VPN需要在远程终端上安装特定设备的客户端程式或客户端设备，且需要重新规划网路，这是一件十分困难的事，而且在某些情况下是不可能的。此外，使IPSec VPN客户端保持最新状态是IT人员的负担。

Socks5 VPN可以在任何地点，利用任何设备，连线到相应的网路资源上，它具有穿越防火墙的能力。IPSec VPN通常不能支持複杂的网路，这是因为它们需要克服穿越防火墙、IP位址冲突、多重路由转发等困难。鑒于IPSec客户机存在的问题，IPSec VPN实际上只适用于易于管理的或者位置固定的设备。

Socks5 VPN相对SSL VPN，二者都是每个连线一个不同的加密key，但是Socks5 VPN不关心套用层的协定，而SSL VPN需要处理协定套用中的内容，SSL VPN需要针对不同的协定进行不同的处理，因此效率相对Socks5 VPN更低。相对IPSec VPN，Socks5 VPN 在TCP协定簇的网路层以上，不处理会话层以下的无效数据，如接入Internet网路数据（IPSec VPN需要处理上网数据与VPN数据分流）、ICMP数据、广播包、组播包等都不通过VPN隧道的处理；Socks5 VPN只处理伺服器端管理的套用数据。并且Socks5 VPN只处理连线、不会处理底层数据包，不增加IP包的大小（而IPSec VPN将增加数据包的大小30%左右），效率比IPSec VPN高25%左右。

SSL VPN将用户局限在Web浏览器所能访问到的套用上，阻碍用户调用非Web应用程式，并造成档案共享、定期档案备份和自动档案传输等功能的複杂化。虽然SSL VPN可以通过升级、补丁程式、SSL网关和其他变通办法来支持非Web应用程式，但是这些办法的费用十分昂贵，并且实施起来十分複杂，同时SSL VPN不能实现VPN两端的资源互访，只能实现客户端向伺服器端的请求，而Socks5 VPN使用户可以非常方便地访问组织网路的任何资源，不管这些资源是否基于Web，而且既可以允许只是单向访问，也可以实现双向或者网状的多方互访。

Socks5 VPN伺服器和VPN客户端之间的通信线路就是套用数据传输的隧道，当正在通信的隧道出现故障后如果能够及时切换到备用线路上，就能够实现隧道上的可靠通信，从而就可以保证用户远程访问是可靠的。

多个链路之间的负载均衡. 通过系统的负载均衡功能可以在两点间同时使用多条线路实现互联。通过多条线路实现互联频宽叠加，大大增加大数据量业务的处理速度。

图3

客户端存在大量会话连线时，一个伺服器不能处理更多的连线，会导致连线伫列丢失，系统可以採用多个伺服器实现负载均衡，多个伺服器同时处理客户端发起的连线请求，应对系统大容量并发用户并发数请求。

多个Socks5 VPN伺服器之间的负载均衡. 通过系统的负载均衡功能可以在客户端同时与多个VPN伺服器实现通讯。一方面通过多伺服器实现出路速度的成倍增加，大大增加大数据量业务的处理速度，另一方面，当其中的一个伺服器中断(崩溃)时，系统可以把负载自动切换到其他伺服器，使得整个系统不中断，大大增强VPN系统的稳定性。

随着各种管理软体的普及，越来越多大型的管理软体开始通过网路覆盖到分支机构和移动办公用户，网路所承载的数据量越来越大，网路频宽资源却越来越紧张，现有网路资源已经很难满足大型管理软体数据传输对速度的需求，同时异地套用的增加也给管理软体的异地部署和维护造成了很大的困难，虽然管理软体厂商都在加大在产品B/S化方面的投入，但是由于技术和成本等各方面的原因，C/S结构的套用仍然是目前的主流，如何将C/S结构的软体客户端部署到异地也成为了业界不得不面对的一个问题。

远程集中接入功能改变了以往的软体套用模式，C/S结构软体通过远程集中接入技术无须在异地部署软体客户端，只需要将远程集中接入伺服器上的客户端发布出去即可，异地操作时远程集中接入客户端将操作人员对滑鼠键盘的操作信息传输到远程集中接入伺服器，通过远程集中接入伺服器上的软体客户端程式完成对管理软体伺服器的操作，然后将操作的结果以图像的形式传输到远程集中接入客户端。由于远程集中接入客户端和远程集中接入伺服器间没有管理软体的数据传输，所以能够极大的提升管理软体异地使用时的速度，同时在部署管理软体的时候也无须再在异地部署管理软体客户端。

防火墙是指设定在不同网路（如可信任的企业内部网和不可信的公共网）或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网路的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网路和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网路的安全。

核心採用自主开发的嵌入式Linux作业系统，全模组化设计，使用中间层理念，减小系统对硬体的依赖性。具有安全性、开放性、扩展性、模组化、标準化、可移植性等特徵；採用最优硬体平台，提供全线速转发的能力，拥有更高的安全性和可控性。基于Hash表的快速转发功能，极大提高了防火墙的吞吐率。

TCP/IP的数据包是由包头和数据构成的，包头包括协定(TCP/UDP/ICMP)、源地址、目的地址、源连线埠(服务)、目的连线埠等信息，包过滤是防火墙基于网路层的安全方式,它通过对所有流经防火墙的信息包内的包头信息检查,以实现对网路的安全控制。

防火墙针对TCP/IP数据包做处理，因此称为网路级，根据上面所列参数进行过滤(比如地址1的任意连线埠到地址2的80连线埠的TCP包被禁止，表示禁止地址1的计算机连线地址2的计算机的www服务)，因此称为包过滤。

包过滤技术是惠尔顿e地通为系统提供安全保障的主要技术，它通过设备对进出网路的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对从网际网路到内部网路的包进行过滤。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入或流出内部网路；哪些类型的数据包的传输应该被拦截。包过滤规则以IP包信息为基础, 对IP包的源地址、 IP包的目的地址、封装协定(TCP/UDP/ICMP/IP Tunnel)、连线埠号等进行筛选。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。

提供IP 地址转换和IP 及TCP/UDP 连线埠映射，实现IP 复用和隐藏网路结构：

NAT 在IP 层上通过地址转换提供IP 复用功能，解决IP 地址不足的问题，同时隐藏了内部网的结构，强化了内部网的安全。惠尔顿防火墙提供了NAT 功能，并可根据用户需要灵活配置。当内部网用户需要对外访问时，防火墙系统将访问主体转化为自己，并将结果透明地返回用户，相当于一个IP 层代理。防火墙的地址转换是基于安全控制策略的转换，可以针对具体的通信事件进行地址转换。

NAT的工作过程如图所示：

图4

在内部网络通过安全网卡访问外部网路时，将产生一个映射记录。系统将外出的源地址和源连线埠映射为一个伪装的地址和连线埠，让这个伪装的地址和连线埠通过非安全网卡与外部网路连线，这样对外就隐藏了真实的内部网路地址。在外部网路通过非安全网卡访问内部网路时，它并不知道内部网路的连线情况，而只是通过一个开放的IP位址和连线埠来请求访问。

惠尔顿e地通根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连线请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将禁止外部的连线请求。网路地址转换的过程对于用户来说是透明的，不需要用户进行设定，用户只要进行常规操作即可。

除了内部网路接口和外部网路接口，惠尔顿三连线埠防火墙还有一个中立区网路接口，称为DMZ(Demilitarized Zone)，可以在其中放置公共套用伺服器。

DMZ是防火墙为了实现在保护内部网路的安全同时,又可以保证需要放置在Internet上的伺服器的安全的一种方法，有了DMZ策略，可以像保护内部网路一样更好地保护DMZ的主机。

惠尔顿e地通的DMZ口还可以作为第二个外部接口灵活使用。

惠尔顿e地通产品支持Web、Https、命令行等面向基于对象的管理配置方式，可通过安全的认证及管理信息的加密传输实现全局防火墙设备的本地、远程集中管理与监控。

惠尔顿e地通产品主要採用全中文Web（Graphic User Interface）界面的配置方式，用户可以在不同作业系统平台、不同地域对防火墙进行配置和管理。

套用代理是用来对TCP/IP套用进行代理的伺服器软体(以下简称Proxy)，Proxy可以接收客户的请求，分析客户数据，然后以自己的面目向内容伺服器提出请求，然后接受内容伺服器的回响，再传给客户。

这用于几种场合：共享一个Internet接入连线时，可以让区域网路的所有计算机都访问Internet上的内容；给出一个共同的连线口，便于控制和管理。而网路层的NAT和包过滤都无法处理基于套用层的内容过滤，比如URL Blocking、病毒过滤、邮件等的关键字过滤等等，因为网路层只处理包头。套用层防火墙就是把数据包先整合成套用层数据，根据数据内容(比如要过滤的关键字或URL地址)进行过滤，然后再重新生成TCP/IP包。

但这样比包过滤增加了许多工作量，因此效率必然比包过滤低。另外，由于套用代理是套用层的，因此针对不同的套用层协定必须有单独的套用代理，因此套用代理不能支持所有网路套用，也不能自动地支持新的网路套用。而网路层的系统是针对TCP/IP协定的，因此可以自动支持大部分套用和新套用(只要是基于TCP/IP的即可)。

惠尔顿e地通提供对高层套用服务（HTTP）的透明代理。用户不需要在自己的主机上作任何的有关代理伺服器的设定，只需管理员在防火墙上配置相关的规则，用户通过防火墙进行的上述套用访问就会由防火墙进行代理，这些配置对用户来说完全是透明的，极大的方便了用户使用代理。

传统上认为计算机网路的安全主要应防备外部的入侵，但现在的实际情况是内部的破坏及信息窃取同外部的入侵一样是网路安全应防备的大的环节。惠尔顿防火墙允许绑定MAC地址（网卡的硬体地址）和IP位址，可以使内部网路防止内部IP欺骗，保证基于IP的安全策略、计费策略等的正确实施。当发现某IP和绑定的MAC地址不相符时，将拒绝为该IP服务。MAC绑定技术主要用于绑定一些重要的管理员IP和特权IP。

惠尔顿e地通支持URL、关键字检测机制，能有效控制内部网路对某些站点的访问，禁止不良的、非法的网站，防止区域网路用户浏览邪教、色情等不良网站及网页。

惠尔顿e地通可有效抵抗DOS/DDOS、嗅探、同步等多种攻击，阻止TCP、UDP 等连线埠扫描，防止源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN 攻击。

抗DOS/DDOS 攻击：拒绝服务攻击（DOS ）就是攻击者过多的占用共享资源，导致伺服器超载或系统崩溃，而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，阻止DOS 黑客攻击。

防TCP 、UDP 等连线埠扫描：可以阻止对网路或内部主机的所有TCP/UDP扫描。

可防御源路由攻击、IP 碎片包攻击、DNS/RIP/ICMP 攻击、SYN 等多种攻击：惠尔顿防火墙系统可以检测对网路或内部主机的多种拒绝服务攻击。

阻止ActiveX 、Java 、Javascript 等侵入：属于HTTP 内容过滤，防火墙能够从HTTP页面剥离ActiveX 、JavaApplet 等小程式及从Script 、PHP 和ASP 等代码检测出危险的代码，同时，能够过滤用户上载的CGI 、ASP 等程式。

提供实时监控和告警功能：惠尔顿防火墙提供对网路的实时监控，当发现攻击和危险行为时，防火墙提供告警等功能。

支持众多网路通信协定和套用协定，如DHCP 、ADSL 、RIP 、ISL 、802.1Q 、Spanning tree 、NETBEUI、IPSEC、PPTP、H.323 、BOOTP、PPPoE协定等，使惠尔顿防火墙适用网路的範围更加广泛，保证用户的网路套用并扩展IP 宽频接入及IP电话、视频会议、VOD 点播等多媒体套用。

通过使用用户身份认证, 确保用户身份, 及用户可以访问的许可权, 保护网路的安全和用户身份被盗用的情况。用户认证可以通过两种方式实现：内部用户资料库和Radius伺服器。

支持多线路捆绑技术，可实现带网路频宽的叠加；

採用智慧型路由分离技术，分流上网数据、扩充互联线路；

支持DHCP、PPPOE、NTP、NAPT/PAT、NAT穿越、DNS增强版快取；

提供管理伺服器群的负载平衡能力；

可自由设定静态路由，支持集团用户的多级複杂网路。

在传统的IP网路中，所有的报文都被无区别的等同对待，路由器对所有的报文均採用先入先出(FIFO)的策略进行处理，依次将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。

随着IP网路上新套用的不断出现，对IP网路的服务质量也提出了新的要求，如VoIP(Voice over IP，IP语音)等实时业务就对报文的传输延迟提出了较高要求，如果报文传送延时太长，将是用户所不能接受的。相对而言，传统的网路套用如E-Mail和FTP业务对时间延迟并不敏感。

为了支持具有不同服务需求的语音、视频以及数据等业务，要求网路能够区分出不同的通信，进而为之提供相应的服务，这是传统的IP网路所无法实现的。

在传统IP网路中，因为无法识别和区分出网路中的各种通信类别，所以也就无法为不同的通信提供不同的服务。QoS (Quality of Service : 服务质量)技术的出现便致力于解决这个问题。

惠尔顿e地通设备通过三级流量管理实现不同服务的Qos保证，为不同的服务定义频宽分配规则。

一般传统的高端防火墙仅在防火墙中有QOS功能区分不同业务的服务质量，但目前在VPN还很少实现QOS功能；这样就造成同一个VPN隧道内无法按服务的重要性提供频宽。往往在网路高峰时，不重要的业务占据了多数频宽，导致象VOIP等核心业务系统套用得不到快速回响，严重影响VPN使用效果。

通过智慧型QOS技术，用户可以在e地通智慧型网关产品上自由定义不同服务的QOS级别，并分配给不同级别的服务在VPN隧道内的频宽比例，重要的服务得到更大的频宽。 在额定频宽的QOS策略中，各个QOS级别的服务只能使用额定频宽，即使网路流量没有占满，低级别的服务也不能使用预留给高级别服务的频宽。e地通智慧型网关的智慧型QOS策略修正了这个缺陷，当没有高级别数据的时候，低级别的服务能够有效利用所有空闲频宽。

惠尔顿e地通设备在进行大包传输测试时优于一般设备，60K的数据在ADSL线路上的丢包率小于百分之一。

各种网路套用已经在企业中慢慢普及起来，越来越多的企业开始使用廉价的网际网路通信来代替原来昂贵的数据线路通信。不同的宽频运营商运营商提供了各种宽频接入方式，各种的价格也有很大的差别。宽频线路根据不同的频宽和是否拥有静态IP位址，其价格差异可以相差一个数量级。如电信的ADSL专线，因为拥有静态IP，价格是2000元/月，而拨号ADSL，其价格可以低至200元/月。而电信的光纤宽频因为拥有更稳定的通信质量，上下行一致的频宽，其价格高达4、5千。而10M以上的光纤接入，每月费用过万。作为使用最广泛的拨号ADSL接入，其上下行频宽不一致，上行频宽只有512K，下行频宽可以达到2M。

目前，规模较小的（只有几个网路节点）套用中，主要使用拨号ADSL作为宽频的接入方式。因为节点较少，通信量不大，ADSL的512K上行频宽仍然能够支撑主节点的访问压力。但是， 随着企业套用的发展，一些企业级网路也达到了很大的规模，网路节点可以达到几十，甚至上百。这时，中心节点必然要求更高的频宽以满足众多分支节点的通信访问。如果一个ADSL上行的512K的频宽可以满足5个分支节点的访问通信频宽要求。那幺如果一个100个分支节点的中心网路就需要10M的频宽去支撑100个接入的通信压力。这样企业就必须付出每月一两万的10M光纤接入费用。这其实只是一个保守的估计，随着网路套用对频宽的要求越来越高，视频音频套用的大量出现，512K的频宽还可能不能满足一个节点的通信要求。

而且，很多企业都把原有的DDN数据线路撤掉，使用VPN替代原有的通信方式。宽频线路虽然拥有良好的频宽和价格比，但是，DDN线路仍然昂贵是因为DDN线路拥有宽频线路所不能达到的稳定性。因此这些使用VPN替代DDN线路的企业必然要面对线路中断的风险。对于一些把关键业务转移到VPN网路上的用户，这个风险是不能忽视的。如何既能够降低费用，又要降低风险，对于这些用户就是一个鱼和熊掌兼得的问题。

综上所述，企业套用中面临着频宽和稳定性的双重问题。E地通的频宽叠加功能针对这些问题，设计的多线路频宽叠加方案正好可以满足用户所面对的频宽和通信稳定性问题。

E地通的不同版本都具有多个网口，除了预设定製的内部网口，其余所有的网路接口都可以设定为内部网路接口或者外部网路接口。E地通支持现时大多数的宽频接入方式ADSL、CABEL、LAN、LAN等接入方式。同样或者不同的宽频接入方式可以捆绑在一起使用。捆绑后，对于内部网路，就拥有了原来多条线路的叠加频宽。

E地通的多条线路之间并不是单纯的捆绑共享功能，不同的线路之间可以互相备份，如果线路实现了共享，当一条线路故障中断之后，系统会自动把网路流量转移到别的线路上，可以保证网路通信的畅通。而当故障线路恢复后，系统会将网路的流量再分配到恢复的线路上，保证每条线路的充分使用。

E地通的多线路频宽叠加功能在建立VPN通道时，可以实现路径的智慧型选择，当叠加的多条线路不属于同一家运营商时，e地通可以根据客户端的线路情况，自动选择数据传输的路径，有效的解决了不同运营商之间的网路出口问题。

E地通特有的VPN捆绑技术，真正实现了数据包级别的频宽的叠加，而不仅仅是连线层次上的频宽叠加。E地通的VPN系统也是根据多线路设计的。系统可以在每一条宽频线路上均建立VPN连线。因为VPN连线是数据包级别的低层转发，所有VPN通信的数据包可以均衡地分布到多条线上。同一个套用的连线使用的频宽就不仅仅是单一线路的频宽，而是多条线路的叠加频宽。如一条ADSL上行速度是512K，则使用多条ADSL捆绑后的VPN通信的频宽可以达到n*512K，这样就可以用多条廉价的线路实现原来昂贵的大频宽线路的效果。你的VPN通信将不再受制于ADSL线路上行512K的瓶颈，真正实现高速VPN通信。

VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟区域网路"， VLAN是一种将区域网路（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的区域网路LAN），从而实现虚拟工作组（单元）的数据交换技术。

VLAN的好处主要有三个：连线埠的分隔、网路的安全、灵活的管理。

VLAN技术的出现，使得管理员根据实际套用需求，把同一物理区域网路内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理範围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网路管理、提高网路的安全性。 VLAN除了能将网路划分为多个广播域，从而有效地控制广播风暴的发生，以及使网路的拓扑结构变得非常灵活的优点外，还可以用于控制网路中不同部门、不同站点之间的互相访问。

二、e地通产品网路和系统结构

用e地通设备替换原有网关设备，通过e地通代理区域网路机器上网，本方案在进行VPN设定的时候，无须进行连线埠映射设定，区域网路机器上网时无须改变区域网路机器的上网设定，只需要将e地通的区域网路地址设定为原网关的低址即可。

本模式部署时，e地通只能作为VPN使用，其他功能不生效。适合于网路中已经有专业的防火墙等设备，无法替换现有网路设备，部署时需要在网关上进行连线埠映射，将VPN的工作连线埠映射到e地通伺服器。

本模式能够有效的保护伺服器的安全，部署时需要在网关上进行连线埠映射，将VPN的工作连线埠映射到e地通伺服器，部署完成以后，区域网路对伺服器的访问也必须经过e地通的授权和监控。

适用于区域网路规模比较大，对伺服器的安全要求比较高的情况。

2.4、e地通作为备份线路部署模式1、网路结构图

本模式适用于为现有线路增加备份或补充线路的情况，可以在不改变原线路和网路结构的情况下增加一条线路作为另外一条线路的备份或者补充线路，部署完成以后，异地通过VPN连线时，可以通过任意线路接入。两条线路可以并存。常见于VPDN与e地通并存的情况。

2、说明

本模式适用于多线路频宽叠加的情况，常见于不同运营商之间互连的情况，在总部申请两个或多个运营商的线路，做VPN连线时，客户端可以智慧型选择连线哪个运营商的线路，同时一条线路也可以作为其他线路的备份线路使用。