【面向Cisco 2600与3600系列的模块化多服务路由器虚拟专用网模块】分享给互联网从爱好者学习参考。
Cisco 2600与3600系列模块化多服务路由器虚拟专用网模块(VPN模块)为虚拟专用网(VPN)优化了平台。通过卸载路由器中心处理元件的加密处理,Cisco 2600与3600系列VPN模块提供了比纯软件加密高10倍的性能。
该产品适用于企业分支机构,用于连接远程办公室、移动用户、合作伙伴外部网或服务供给商治理的服务客户端设备(CPE),它提供了大量集成的路由、防火墙、入侵检测与VPN功能。作为Cisco VPN解决方案不可分割的一部分,Cisco 2600与3600系列VPN模块提供了业界标准的加密(IPSec)、应用感知服务质量(QoS)、带宽治理和强大的安全功能。
图1 Cisco 2600与3600系列VPN模块
VPN模块硬件有四种形式:
Cisco 2600 AIM-VPN/基本性能(BP)--这一先进的接口模块(AIM)可以添加到所有当前的Cisco 2600系列产品中(包括Cisco 2650),以10Mbps 3重数据加密标准(3DES)性能(基于1400字节的分组)提供基于硬件的加密服务。Cisco 2600 AIM-VPN/改进性能(EP)--这一先进的接口模块(AIM)VPN模块可以添加所有当前的Cisco 2600系列产品中,但该模块主要面向Cisco 2650高性能路由器。这一型号能够以14Mbps 3重数据加密标准(3DES)性能(基于1400字节的分组)在 Cisco 2650中提供基于硬件的加密服务。这一模块要求最低12.2 (2) T的IOS。Cisco 3620与3640网络模块(NM)-VPN/中等性能(MP)--这一NM受现在所有的Cisco 3620与3640平台的支持,能够以18Mbps的3DES性能(基于1400字节分组)提供基于硬件的加密服务。Cisco 3660 AIM-VPN/高性能(HP)--这一NM受现在所有的Cisco 3660平台的支持,能够以40Mbps的3DES性能(基于1400字节分组)提供基于硬件的加密服务。
除加密处理外,Cisco 2660与3600系列VPN模块还能够处理各种其它与IPSec相关的任务-散列、密钥交换以及安全关系的存储,这样就分担了主处理器与内存的任务,从而令其可以执行其它的路由器、语音、防火墙和入侵检测功能。
表1
特性 说明 物理特性网络模块与AIM尺寸 平台支持Cisco 2600与3600系列 硬件要求用于Cisco 2600与3660的AIM插槽,用于Cisco 3620与3640的NM插槽 软件要求带有IPSec特性的Cisco IOS软件 吞吐率Cisco 2600为10Mbps,2650为14Mbps,Cisco 3620与3640为18Mbps, Cisco 3660为40Mbps(基于1400字节分组) 每个路由器加密模块的数量1 最低Cisco IOS版本要求12.1(5)T或后续版本(针对AIM-EP使用12.2 (2) T) 支持的加密IPSec DES与3DES,验证:RSA与Diffie Hellman, 数据完整性:SHA-1与MD5 加密隧道最高数量Cisco 2600上为300个隧道,带有AIM-VPN/EP的2650有800个,Cisco 3620与3640上为800个,Cisco 3660上为1800个 支持的标准IPSec/IKE: RFC 2401-2410, 2411, 2451
;
表2
特性 优势 基于硬件的DES与3DES加密总体加密性能比软件加密方法有所提高 从主处理器进行的高开销IPSec处理可将重要的处理资源留给其它服务,如路由、防火墙和语音 认证支持通过数字证书实现了自动验证为要求在多个地点间建立安全连接的大型网络扩展了加密的使用范围 VPN模块能够很方便地集成到新的和现有的Cisco 2600与3600系列路由器中大幅度降低了系统成本、治理复杂性以及多机箱解决方案的部署复杂性 治理Cisco Secure Policy Manager,这是一种面向大中型VPN部署的综合治理工具,可以配置IPSec隧道和防火墙规则(VPN Solution Center 2.0是一个SP MPLS/IPSec治理工具) IPSec提供了保密性、数据完整性与数据源验证答应面向WAN安全地使用公共交换网和互联网
特性
Cisco完全支持所有描述IPSec和相关协议的评论请求(RFC),即RFC 2401-2410。
Cisco具体支持以下特性:
IPSec--利用加密技术提供了一个专有网络中各个对等之间的数据保密性、完整性与真实性。Cisco完全支持封装安全有效负载(ESP)和验证报头(AH)。IKE--根据互联网安全关系密钥治理协议或ISAKMP/Oakley,IKE提供了安全关系治理。IKE将对一个IPSec交易中的每个对进行验证,协商安全策略并处理会话密钥的交换。认证治理--Cisco完全支持X509.V3认证系统,用于设备验证和简单认证注册协议(SCEP),这一协议专门用于与认证权威机构进行通信。有几家厂商(包括Verisign, Entrust Technologies和Microsoft)支持SCEP并可与Cisco设备进行互操作。DES与3DES--所有目的地为IPSec隧道的分组均要求DES或3DES加密。Cisco 2600与3600系列VPN模块利用DES或3DES加密数据,同时使主处理器能够处理其它任务。RSA签名与Diffie-Hellman--在每次建立IPSec隧道时使用,用于验证IKE SA。Diffie-Hellman用于衍生共享的加密密钥,以保护IKE SA上的数据,包括IPSec策略的协商。增强的安全性--基于硬件的密码方法比基于软件的解决方案有更多的安全优势,包括增强了对密钥的保护。
Cisco 2600与3600系列和VPN模块已提交FIPS 140-1 2级安全性申请,但现在尚未获得批准。Cisco IOS IPSec软件已获得FIPS 140-1 2级认证。
用于IPSec VPN的Cisco治理软件
用于基于企业的VPN网络的治理工具
Config Maker
Config Maker是一种易于使用的独立式Windows GUI,可使用户执行与控制台端口直接相连的或基于Telnet的简单IPSec配置规则。注册用户可以从www.cisco.com的Cisco软件中心免费下载Config Maker。Config Maker适用于那些Cisco CLI经验较少而且计划部署一个简单的VPN(3到10个设备)的用户。
Cisco Secure Policy Manager
Cisco Secure Policy Manager (CSPM)是一种基于Windows NT的软件工具。CSPM 2.3版是Cisco安全策略治理工具的最新版本,利用这一工具,客户可以从一个中心地点定义、分布、执行并检查网络中的安全策略。CSPM简化了对复杂网络安全要素的治理,例如基于IPSec的VPN。除治理Cisco VPN路由器外,CSPM还能够治理Cisco PIX防火墙和Cisco入侵检测系统(IDS)。CSPM能够为企业客户大幅度简化Cisco IOS防火墙以及Cisco IOS IPSec VPN部署,使治理员也能利用一个中心工具定义高级的安全策略。
用于服务供给商VPN网络的治理工具
VPN Solution Center 2.0
Cisco VPN Solution Center (VPNSC) 2.0版的推出使供给商能够用一个工具治理IPSec和基于MPLS的IP VPN。此外,VPNSC还提供了一套服务治理解决方案,使服务供给商能够针对VPN服务进行有效的计划、配置、运行与计费。
在服务供给商构建包括WAN交换机、路由器、防火墙、VPN集中器和Cisco IOS软件时,他们需要在网络基础设施中无缝地治理这些设备并为客户提供服务水平协议(SLA)。他们还需要使企业客户能够对网络服务和应用进行个性化访问。VPNSC为服务供给商提供了第一个经济有效的电信级VPN服务治理方案,使其能够快速部署许多企业现在需要的外包VPN服务。该产品在面向每个地点的平台上将强大的IPSec VPN服务与Cisco IOS软件的所有其它特性结合在了一起,这些地点包括小型机构和公司总部。
VPNC 2.0支持作为MPLS客户端设备(CPE)和作为IPSec设备的Cisco 2600系列路由器。这样供给商就可以同时治理IPSec与基于MPLS的IP VPN。
VPNSC 2.0也支持作为MPLS客户端设备(CPE)和IPSec设备的Cisco 3600系列路由器。此外,Cisco 3640与3660作为供给商边缘PE设备也受VPNSC 2.0的支持。
Cisco 2600与3600系列VPN模块软件
Cisco 2600与3600系列VPN模块受Cisco IOS软件12.1 (5) T及后续版本的支持。Cisco IOS IP防火墙plus IPSec 3DES软件包含Cisco IOS软件所有的IPSec、防火墙和plus特性,同时支持3DES与DES(56位)加密,而IPSec 56版软件支持DES(56位)加密。关于12.2 (2) T的内存要求请参见表3。
安装了VPN模块的Cisco 2600或3600系列路由器针对Cisco IOS 12.1 (5) T及后续版本软件支持任何特性集,但这种模块只与IPSec特性集共同使用。例如,Cisco 2600与3600系列Cisco IOS IP软件(12.1 (2) T)可在一个安装了VPN模块的Cisco 2600与3600系列路由器上运行,但它不支持IPSec,也不会使用VPN模块的特性。
VPN模块的出口规定
用于VPN模块的DES与3DES软件受美国加密产品出口规定的管辖。模块本身不受管辖,但按照美国规定,必须记录DES与3DES软件接收方的名称和地址。针对DES和3DES软件的Cisco订购流程符合这些要求。如需具体信息请访问:http://www.cisco.com/wwl/eXPort/encrypt.Html.
表3 Cisco 2600与3600系列IPSec软件12.2 (1) T的内存要求
产品名2600/3600/3660映像名软件映像所要求的闪存
2600/3620
/3640/3660所要求的
DRAM内存
2600/3620
/3640/3660运行 S26/36AL
S26/36AL Enterprise Plus IPSec 56 (DES)C2600/3620
/3640/3660
-js56i-mz
16/16/32/3264/64/96/96RAM S26/36AK2Enterprise Plus IPSec 3DESC2600/3620
/3640/3660
-jk2s-mz16/32/32/3264/64/96/96RAM S26/36AHLEnterprise IP/FW/IDS Plus IPSec 56C2600/3620
/3640/3660
-jo3s56i-mz16/32/32/3264/64/96/96RAM S26/36AHK2Enterprise IP/FW/IDS Plus IPSec 3DESC2600/3620
/3640/3660
-jk2o3s-mz16/32/32/3264/64/96/96RAM S26/36AR1LEnterprise/SNASW PLUS IPSEC 56C2600/3620
/3640/3660
-a3js56I-mz16/32/32/3264/64/96/96RAM S26/36AR1K2Enterprise/SNASW PLUS IPSEC 3DESC2600/3620
/3640/3660
-a3jk2s-mz16/32/32/3264/64/96/96RAM S26/36CLIP Plus IPSec 56 (DES)C2600/3620
/3640/3660
-is56i-mz16/32/32/3264/64/64/64RAM S26/36CK2IP PLUS IPSEC 3DESC2600/3620
/3640/3660
-ik2s-mz16/32/32/3264/64/64/64RAM S26/36CHLIP/FW/IDS Plus IPSec 56 DESC2600/3620
/3640/3660
-io3s56I-mz16/32/32/3264/64/64/64RAM S26/36CHK2IP/FW/IDS Plus IPSec 3DESC2600/3620
/3640/3660
-ik2o3s-mz16/32/32/3264/64/64/64RAM
规格
产品编号与说明
标准 (Cisco IOS IPSec)
IPSec (RFCs 2401-2410) IPSec 封装安全有效负载 (ESP),使用DES/3DES (RFC 2406) IPSec Authentication Header (AH) ,使用MD5或SHA (RFCs 2403-2404) 互联网密钥交换 (IKE) (RFCs 2407-2409)环境
工作温度: 32-104°F (0 -40℃)非工作温度: -4 -149°F (-20-65℃)相对湿度: 10-85%,非冷凝(工作时);5-95%,非冷凝(非工作时)尺寸与重量
模块宽高长重量 AIM-VPN/BP5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg) AIM-VPN/EP5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm).60 lb. (.27 kg)NM-VPN/MP7.10 in. (18.03 cm) 1.65 in. (4.19 cm) 7.20 in. (18.29 cm) 1.1 lb. (.5 kg)AIM-VPN/HP5.25 in. (13.34 cm).95 in. (2.41 cm)3.25 in. (8.26 cm).6 lb. (.27 kg)
规定的符合情况,安全,EMC,Telecom,网络确认情况
安装在一个Cisco 2600与3600路由器中以后,VPN模块不会改变路由器的标准(规定的符合情况,安全,EMC,Telecom,网络确认)。请参见Cisco 2600与3600路由器的产品资料。