Cisco 2600與3600系列模塊化多服務路由器虛擬專用網模塊(VPN模塊)為虛擬專用網(VPN)優化了平臺。通過卸載路由器中心處理元件的加密處理,Cisco 2600與3600系列VPN模塊提供了比純軟件加密高10倍的性能。
該產品適用于企業分支機構,用于連接遠程辦公室、移動用戶、合作伙伴外部網或服務供給商治理的服務客戶端設備(CPE),它提供了大量集成的路由、防火墻、入侵檢測與VPN功能。作為Cisco VPN解決方案不可分割的一部分,Cisco 2600與3600系列VPN模塊提供了業界標準的加密(ipSec)、應用感知服務質量(QoS)、帶寬治理和強大的安全功能。
圖1 Cisco 2600與3600系列VPN模塊
VPN模塊硬件有四種形式:
除加密處理外,Cisco 2660與3600系列VPN模塊還能夠處理各種其它與IPSec相關的任務-散列、密鑰交換以及安全關系的存儲,這樣就分擔了主處理器與內存的任務,從而令其可以執行其它的路由器、語音、防火墻和入侵檢測功能。
特性 說明 物理特性 網絡模塊與AIM尺寸 平臺支持 Cisco 2600與3600系列 硬件要求 用于Cisco 2600與3660的AIM插槽,用于Cisco 3620與3640的NM插槽 軟件要求 帶有IPSec特性的Cisco IOS軟件 吞吐率 Cisco 2600為10Mbps,2650為14Mbps,Cisco 3620與3640為18Mbps, Cisco 3660為40Mbps(基于1400字節分組) 每個路由器加密模塊的數量 1 最低Cisco IOS版本要求 12.1(5)T或后續版本(針對AIM-EP使用12.2 (2) T) 支持的加密 IPSec DES與3DES,驗證:RSA與Diffie Hellman, 數據完整性:SHA-1與md5 加密隧道最高數量 Cisco 2600上為300個隧道,帶有AIM-VPN/EP的2650有800個,Cisco 3620與3640上為800個,Cisco 3660上為1800個 支持的標準 IPSec/IKE: RFC 2401-2410, 2411, 2451
特性 優勢 基于硬件的DES與3DES加密 總體加密性能比軟件加密方法有所提高 從主處理器進行的高開銷IPSec處理 可將重要的處理資源留給其它服務,如路由、防火墻和語音 認證支持通過數字證書實現了自動驗證 為要求在多個地點間建立安全連接的大型網絡擴展了加密的使用范圍 VPN模塊能夠很方便地集成到新的和現有的Cisco 2600與3600系列路由器中 大幅度降低了系統成本、治理復雜性以及多機箱解決方案的部署復雜性 治理 Cisco Secure Policy Manager,這是一種面向大中型VPN部署的綜合治理工具,可以配置IPSec隧道和防火墻規則(VPN Solution Center 2.0是一個SP MPLS/IPSec治理工具) IPSec提供了保密性、數據完整性與數據源驗證 答應面向WAN安全地使用公共交換網和互聯網
特性
Cisco完全支持所有描述IPSec和相關協議的評論請求(RFC),即RFC 2401-2410。
Cisco具體支持以下特性:
Cisco 2600與3600系列和VPN模塊已提交FIPS 140-1 2級安全性申請,但現在尚未獲得批準。Cisco IOS IPSec軟件已獲得FIPS 140-1 2級認證。
用于IPSec VPN的Cisco治理軟件
用于基于企業的VPN網絡的治理工具
Config Maker
Config Maker是一種易于使用的獨立式Windows GUI,可使用戶執行與控制臺端口直接相連的或基于Telnet的簡單IPSec配置規則。注冊用戶可以從www.cisco.com的Cisco軟件中心免費下載Config Maker。Config Maker適用于那些Cisco CLI經驗較少而且計劃部署一個簡單的VPN(3到10個設備)的用戶。
Cisco Secure Policy Manager
Cisco Secure Policy Manager (CSPM)是一種基于Windows NT的軟件工具。CSPM 2.3版是Cisco安全策略治理工具的最新版本,利用這一工具,客戶可以從一個中心地點定義、分布、執行并檢查網絡中的安全策略。CSPM簡化了對復雜網絡安全要素的治理,例如基于IPSec的VPN。除治理Cisco VPN路由器外,CSPM還能夠治理Cisco PIX防火墻和Cisco入侵檢測系統(IDS)。CSPM能夠為企業客戶大幅度簡化Cisco IOS防火墻以及Cisco IOS IPSec VPN部署,使治理員也能利用一個中心工具定義高級的安全策略。
用于服務供給商VPN網絡的治理工具
VPN Solution Center 2.0
Cisco VPN Solution Center (VPNSC) 2.0版的推出使供給商能夠用一個工具治理IPSec和基于MPLS的IP VPN。此外,VPNSC還提供了一套服務治理解決方案,使服務供給商能夠針對VPN服務進行有效的計劃、配置、運行與計費。
在服務供給商構建包括WAN交換機、路由器、防火墻、VPN集中器和Cisco IOS軟件時,他們需要在網絡基礎設施中無縫地治理這些設備并為客戶提供服務水平協議(SLA)。他們還需要使企業客戶能夠對網絡服務和應用進行個性化訪問。VPNSC為服務供給商提供了第一個經濟有效的電信級VPN服務治理方案,使其能夠快速部署許多企業現在需要的外包VPN服務。該產品在面向每個地點的平臺上將強大的IPSec VPN服務與Cisco IOS軟件的所有其它特性結合在了一起,這些地點包括小型機構和公司總部。
VPNC 2.0支持作為MPLS客戶端設備(CPE)和作為IPSec設備的Cisco 2600系列路由器。這樣供給商就可以同時治理IPSec與基于MPLS的IP VPN。
VPNSC 2.0也支持作為MPLS客戶端設備(CPE)和IPSec設備的Cisco 3600系列路由器。此外,Cisco 3640與3660作為供給商邊緣PE設備也受VPNSC 2.0的支持。
Cisco 2600與3600系列VPN模塊軟件
Cisco 2600與3600系列VPN模塊受Cisco IOS軟件12.1 (5) T及后續版本的支持。Cisco IOS IP防火墻plus IPSec 3DES軟件包含Cisco IOS軟件所有的IPSec、防火墻和plus特性,同時支持3DES與DES(56位)加密,而IPSec 56版軟件支持DES(56位)加密。關于12.2 (2) T的內存要求請參見表3。
安裝了VPN模塊的Cisco 2600或3600系列路由器針對Cisco IOS 12.1 (5) T及后續版本軟件支持任何特性集,但這種模塊只與IPSec特性集共同使用。例如,Cisco 2600與3600系列Cisco IOS IP軟件(12.1 (2) T)可在一個安裝了VPN模塊的Cisco 2600與3600系列路由器上運行,但它不支持IPSec,也不會使用VPN模塊的特性。
VPN模塊的出口規定
用于VPN模塊的DES與3DES軟件受美國加密產品出口規定的管轄。模塊本身不受管轄,但按照美國規定,必須記錄DES與3DES軟件接收方的名稱和地址。針對DES和3DES軟件的Cisco訂購流程符合這些要求。如需具體信息請訪問:http://www.cisco.com/wwl/eXPort/encrypt.Html.
產品名2600/3600/3660 映像名 軟件映像 所要求的閃存 規格
產品編號與說明
標準 (Cisco IOS IPSec)
環境
模塊 寬 高 長 重量 AIM-VPN/BP 5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg) AIM-VPN/EP 5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg) NM-VPN/MP 7.10 in. (18.03 cm) 1.65 in. (4.19 cm) 7.20 in. (18.29 cm) 1.1 lb. (.5 kg) AIM-VPN/HP 5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .6 lb. (.27 kg) 規定的符合情況,安全,EMC,Telecom,網絡確認情況
安裝在一個Cisco 2600與3600路由器中以后,VPN模塊不會改變路由器的標準(規定的符合情況,安全,EMC,Telecom,網絡確認)。請參見Cisco 2600與3600路由器的產品資料。
新聞熱點
疑難解答
