Cisco 2600与3600系列模块化多服务路由器虚拟专用网模块(VPN模块)为虚拟专用网(VPN)优化了平台。通过卸载路由器中心处理元件的加密处理,Cisco 2600与3600系列VPN模块提供了比纯软件加密高10倍的性能。
该产品适用于企业分支机构,用于连接远程办公室、移动用户、合作伙伴外部网或服务供给商治理的服务客户端设备(CPE),它提供了大量集成的路由、防火墙、入侵检测与VPN功能。作为Cisco VPN解决方案不可分割的一部分,Cisco 2600与3600系列VPN模块提供了业界标准的加密(ipSec)、应用感知服务质量(QoS)、带宽治理和强大的安全功能。
图1 Cisco 2600与3600系列VPN模块
VPN模块硬件有四种形式:
除加密处理外,Cisco 2660与3600系列VPN模块还能够处理各种其它与IPSec相关的任务-散列、密钥交换以及安全关系的存储,这样就分担了主处理器与内存的任务,从而令其可以执行其它的路由器、语音、防火墙和入侵检测功能。
特性 说明 物理特性 网络模块与AIM尺寸 平台支持 Cisco 2600与3600系列 硬件要求 用于Cisco 2600与3660的AIM插槽,用于Cisco 3620与3640的NM插槽 软件要求 带有IPSec特性的Cisco IOS软件 吞吐率 Cisco 2600为10Mbps,2650为14Mbps,Cisco 3620与3640为18Mbps, Cisco 3660为40Mbps(基于1400字节分组) 每个路由器加密模块的数量 1 最低Cisco IOS版本要求 12.1(5)T或后续版本(针对AIM-EP使用12.2 (2) T) 支持的加密 IPSec DES与3DES,验证:RSA与Diffie Hellman, 数据完整性:SHA-1与md5 加密隧道最高数量 Cisco 2600上为300个隧道,带有AIM-VPN/EP的2650有800个,Cisco 3620与3640上为800个,Cisco 3660上为1800个 支持的标准 IPSec/IKE: RFC 2401-2410, 2411, 2451
特性 优势 基于硬件的DES与3DES加密 总体加密性能比软件加密方法有所提高 从主处理器进行的高开销IPSec处理 可将重要的处理资源留给其它服务,如路由、防火墙和语音 认证支持通过数字证书实现了自动验证 为要求在多个地点间建立安全连接的大型网络扩展了加密的使用范围 VPN模块能够很方便地集成到新的和现有的Cisco 2600与3600系列路由器中 大幅度降低了系统成本、治理复杂性以及多机箱解决方案的部署复杂性 治理 Cisco Secure Policy Manager,这是一种面向大中型VPN部署的综合治理工具,可以配置IPSec隧道和防火墙规则(VPN Solution Center 2.0是一个SP MPLS/IPSec治理工具) IPSec提供了保密性、数据完整性与数据源验证 答应面向WAN安全地使用公共交换网和互联网
特性
Cisco完全支持所有描述IPSec和相关协议的评论请求(RFC),即RFC 2401-2410。
Cisco具体支持以下特性:
Cisco 2600与3600系列和VPN模块已提交FIPS 140-1 2级安全性申请,但现在尚未获得批准。Cisco IOS IPSec软件已获得FIPS 140-1 2级认证。
用于IPSec VPN的Cisco治理软件
用于基于企业的VPN网络的治理工具
Config Maker
Config Maker是一种易于使用的独立式Windows GUI,可使用户执行与控制台端口直接相连的或基于Telnet的简单IPSec配置规则。注册用户可以从www.cisco.com的Cisco软件中心免费下载Config Maker。Config Maker适用于那些Cisco CLI经验较少而且计划部署一个简单的VPN(3到10个设备)的用户。
Cisco Secure Policy Manager
Cisco Secure Policy Manager (CSPM)是一种基于Windows NT的软件工具。CSPM 2.3版是Cisco安全策略治理工具的最新版本,利用这一工具,客户可以从一个中心地点定义、分布、执行并检查网络中的安全策略。CSPM简化了对复杂网络安全要素的治理,例如基于IPSec的VPN。除治理Cisco VPN路由器外,CSPM还能够治理Cisco PIX防火墙和Cisco入侵检测系统(IDS)。CSPM能够为企业客户大幅度简化Cisco IOS防火墙以及Cisco IOS IPSec VPN部署,使治理员也能利用一个中心工具定义高级的安全策略。
用于服务供给商VPN网络的治理工具
VPN Solution Center 2.0
Cisco VPN Solution Center (VPNSC) 2.0版的推出使供给商能够用一个工具治理IPSec和基于MPLS的IP VPN。此外,VPNSC还提供了一套服务治理解决方案,使服务供给商能够针对VPN服务进行有效的计划、配置、运行与计费。
在服务供给商构建包括WAN交换机、路由器、防火墙、VPN集中器和Cisco IOS软件时,他们需要在网络基础设施中无缝地治理这些设备并为客户提供服务水平协议(SLA)。他们还需要使企业客户能够对网络服务和应用进行个性化访问。VPNSC为服务供给商提供了第一个经济有效的电信级VPN服务治理方案,使其能够快速部署许多企业现在需要的外包VPN服务。该产品在面向每个地点的平台上将强大的IPSec VPN服务与Cisco IOS软件的所有其它特性结合在了一起,这些地点包括小型机构和公司总部。
VPNC 2.0支持作为MPLS客户端设备(CPE)和作为IPSec设备的Cisco 2600系列路由器。这样供给商就可以同时治理IPSec与基于MPLS的IP VPN。
VPNSC 2.0也支持作为MPLS客户端设备(CPE)和IPSec设备的Cisco 3600系列路由器。此外,Cisco 3640与3660作为供给商边缘PE设备也受VPNSC 2.0的支持。
Cisco 2600与3600系列VPN模块软件
Cisco 2600与3600系列VPN模块受Cisco IOS软件12.1 (5) T及后续版本的支持。Cisco IOS IP防火墙plus IPSec 3DES软件包含Cisco IOS软件所有的IPSec、防火墙和plus特性,同时支持3DES与DES(56位)加密,而IPSec 56版软件支持DES(56位)加密。关于12.2 (2) T的内存要求请参见表3。
安装了VPN模块的Cisco 2600或3600系列路由器针对Cisco IOS 12.1 (5) T及后续版本软件支持任何特性集,但这种模块只与IPSec特性集共同使用。例如,Cisco 2600与3600系列Cisco IOS IP软件(12.1 (2) T)可在一个安装了VPN模块的Cisco 2600与3600系列路由器上运行,但它不支持IPSec,也不会使用VPN模块的特性。
VPN模块的出口规定
用于VPN模块的DES与3DES软件受美国加密产品出口规定的管辖。模块本身不受管辖,但按照美国规定,必须记录DES与3DES软件接收方的名称和地址。针对DES和3DES软件的Cisco订购流程符合这些要求。如需具体信息请访问:http://www.cisco.com/wwl/eXPort/encrypt.Html.
产品名2600/3600/3660 映像名 软件映像 所要求的闪存 规格
产品编号与说明
标准 (Cisco IOS IPSec)
环境
模块 宽 高 长 重量 AIM-VPN/BP 5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg) AIM-VPN/EP 5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg) NM-VPN/MP 7.10 in. (18.03 cm) 1.65 in. (4.19 cm) 7.20 in. (18.29 cm) 1.1 lb. (.5 kg) AIM-VPN/HP 5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .6 lb. (.27 kg) 规定的符合情况,安全,EMC,Telecom,网络确认情况
安装在一个Cisco 2600与3600路由器中以后,VPN模块不会改变路由器的标准(规定的符合情况,安全,EMC,Telecom,网络确认)。请参见Cisco 2600与3600路由器的产品资料。
新闻热点
疑难解答
