Cisco IOS:簡化分支路由器管理

2019-11-05 01:17:01

字體：大中小

來源：轉載

供稿：網(wǎng)友

　　對于中小企業(yè)來說，采用VPN方式可以建立專用而安全的內(nèi)部網(wǎng)絡，但以往建立和治理VPN時所面臨的繁雜工作經(jīng)常令人望而卻步。
　　對治理和支持移動及遠程辦公的網(wǎng)管員來說，企業(yè)網(wǎng)中分支路由器的治理一般會占據(jù)工作量中很大的一部分，而VPN正是基于分支路由器來構建企業(yè)網(wǎng)絡的。為此，Cisco IOS軟件新增加了兩個特性，即Easy VPN Server和Easy VPN Remote。這兩種特性簡化了VPN的配置和治理，大大簡化了企業(yè)間VPN的建立和維護。
　　Easy VPN Remote簡化了與VPN配置有關的許多繁瑣工作，大多數(shù)VPN參數(shù)的定義在企業(yè)總部就可以完成，之后再下傳到本地路由器。Easy VPN Server是一個VPN軟件服務程序，利用作為VPN客戶端的其它Cisco產(chǎn)品，如VPN 3002硬件客戶端程序或PIX 501防火墻，答應IOS路由器為遠程和移動工作人員發(fā)出的VPN會話提供終端服務。這兩種新特性尤其使中小型企業(yè)環(huán)境下VPN連接的配置和治理變得更簡單，使中小企業(yè)與大型企業(yè)的應用變得一樣簡單，使中小型企業(yè)的員工與大型企業(yè)的員工一樣能應付自如。隨著移動工作人數(shù)的增長，對于承擔著為移動工作人員提供安全和遠程網(wǎng)絡接入任務的中小型企業(yè)IT人員來說，這無疑是一個好消息。
　　Easy VPN Remote特性可在多種IOS路由器之上實施，包括Cisco 800、1700和uBR900系列等。1700系列接入路由器非凡適用于中小型企業(yè)及其分支的需要，可提供VPN、安全防火墻、商用DSL以及綜合了數(shù)據(jù)、語音、視頻和傳真的多種服務，這種電子商務平臺的靈活性和易治理性，已使它成為世界上應用最為廣泛的路由器之一。基于Easy VPN Remote特性，網(wǎng)絡治理員擁有了解決遠程接入、安全維護和降低費用等問題的工具，可以擴展1700作為VPN遠程終端的能力，使公司總部VPN管道的維護過程更加合理化。基于Cisco 1721、1751和1760模塊化路由器平臺的5種新的VPN路由器也已推出。這些VPN安全設施包括基本路由器、用于加速性能的VPN加速模塊、存儲器升級以及IOS軟件，它們不僅提供了必需的VPN性能，而且還提供了能將Cisco 1700系列路由器轉變成穩(wěn)定防火墻的IOS防火墻。
　　提供終端服務
　　對移動和遠程工作人員來說，擁有與Internet高性能的連接還遠遠不夠。要實現(xiàn)真正的高效性，這些用戶必須能完全而安全地訪問總公司的網(wǎng)絡資源，這就意味著需要利用高級認證和數(shù)據(jù)加密能力來建立VPN連接。隨著Easy VPN Server特性的發(fā)布，現(xiàn)在中小型企業(yè)及其分支的遠程工作人員已經(jīng)可以建立一個VPN，通過公共Internet來直接訪問總公司資源，這使他們所需的高速網(wǎng)絡資源的費用僅僅是安全連接費用的一小部分。在Easy VPN Server特性出現(xiàn)之前，為遠程工作人員提供與總公司的安全接入通常必須通過PPTP協(xié)議來完成。雖然這種方法答應用戶以終端的方式建立一個與總公司的安全連接，但PPTP管道并沒有提供基于用戶的認證，這將大大降低連接的整體安全性。建立安全連接是一種可供選擇的替代方法，但是這種方法也非常有限，因為它們不支持通過網(wǎng)絡的所有平臺。除了Cisco 800、1700和uBR900系列路由器之外，作為Cisco VPN架構的產(chǎn)品，Easy VPN Server支持并維持更大范圍平臺上VPN的連通性，其中包括PIX防火墻和它們支持的VPN 客戶端VPN 3000系列集線器。
　　當遠程工作人員訪問公司網(wǎng)絡時，他們必須在公共網(wǎng)上建立一個Internet連接，然后利用VPN軟件客戶端向總公司發(fā)出一個VPN會話，其中VPN軟件客戶端是Windows和其它操作系統(tǒng)都支持的一種應用。企業(yè)分支IOS路由器直接作為VPN管道的遠程終端，意味著員工對公司網(wǎng)絡資源的完全訪問。利用Easy VPN Remote特性，企業(yè)分支路由器也可直接作為SOHO用戶初始化的VPN管道的遠程終端。
　　減少分支配置工作
　　Cisco VPN架構大大減少了企業(yè)分支和中心站點VPN參數(shù)配置及協(xié)調(diào)過程中的許多繁瑣工作。一般來說，中心站點路由器必須建立安全策略，決定哪些VPN參數(shù)（如加密算法和認證算法）用于與遠程設備進行通信。然后，這些安全策略被送到具有最小配置的遠程設備。
　　Easy VPN Remote特性答應VPN 3000系列集線器或其它具有Easy VPN Server特性的Cisco產(chǎn)品來自動定義大多數(shù)企業(yè)分支路由器的VPN參數(shù)。在這種方案中，VPN 3000系列集線器作為一個ipSec服務器，而企業(yè)分支的路由器則作為IPSec的客戶端。
　　VPN參數(shù)的自動配置包括：內(nèi)部IP地址、內(nèi)部子網(wǎng)掩碼、內(nèi)部DHCP服務器地址、內(nèi)部WINS服務器地址、拆分管道答應標識。通過Easy VPN Remote特性對企業(yè)分支的1700系列路由器進行配置之后，VPN的配置就得到了簡化，它與企業(yè)中心3000系列集線器相連接。Easy VPN Remote特性初始化了VPN與Easy VPN Server的連接，這促進了1700系列路由器IPSec參數(shù)和策略的設置，也產(chǎn)生了相應的VPN管道連接。由于與建立VPN連接有關的許多具體任務都已自動化，因此利用Easy VPN Remote特性，大大簡化了建立連接的過程。
　　為了滿足不同用戶的建網(wǎng)需要，可通過兩種不同方式來配置Easy VPN Remote特性：客戶端模式，這是默認配置，僅答應客戶端設備訪問中心站點資源（VPN 3000 集線器或其它VPN服務器都位于中心站點），但中心站點不能訪問客戶端的網(wǎng)絡資源；網(wǎng)絡擴展模式，中心站點和客戶端用戶可互相訪問各自的網(wǎng)絡資源。
　　　 Cisco IOS:簡化分支路由器治理（圖一）

　　圖1 有了Easy VPN Server特性，利用VPN軟件客戶端程序，Cisco 1700系列等路由器可以為遠程和移動用戶發(fā)出的VPN會話提供終端服務，或者利用Easy VPN Remote特性為SOHO的VPN用戶實現(xiàn)終端會話的初始化。
　　 Cisco IOS:簡化分支路由器治理（圖二）

　　圖2 利用Easy VPN Remote特性，Cisco 1700建立了與企業(yè)中心VPN 3000 集線器、IOS路由器或PIX防火墻的連接。可通過上面的任一設備用“PUSH”方式將配置參數(shù)送到Cisco 1700系列路由器，連接到路由器的PC機和主機可安全地訪問企業(yè)中心，使整個企業(yè)網(wǎng)絡輕松實現(xiàn)無縫擴展。

上一篇：3200系列移動存取路由器

下一篇：7206 的圖片