云南龙网

  1. 首页 > 云知道 > >

面向Cisco 2600与3600系列的模块化多服务路由器虚拟专用网模块

云知道

Cisco 2600与3600系列模块化多服务路由器虚拟专用网模块(VPN模块)为虚拟专用网(VPN)优化了平台 。通过卸载路由器中心处理元件的加密处理,Cisco 2600与3600系列VPN模块提供了比纯软件加密高10倍的性能 。
该产品适用于企业分支机构,用于连接远程办公室、移动用户、合作伙伴外部网或服务供给商治理的服务客户端设备(CPE),它提供了大量集成的路由、防火墙、入侵检测与VPN功能 。作为Cisco VPN解决方案不可分割的一部分,Cisco 2600与3600系列VPN模块提供了业界标准的加密(IPSec)、应用感知服务质量(QoS)、带宽治理和强大的安全功能 。
图1 Cisco 2600与3600系列VPN模块
VPN模块硬件有四种形式:
Cisco 2600 AIM-VPN/基本性能(BP)--这一先进的接口模块(AIM)可以添加到所有当前的Cisco 2600系列产品中(包括Cisco 2650),以10Mbps 3重数据加密标准(3DES)性能(基于1400字节的分组)提供基于硬件的加密服务 。Cisco 2600 AIM-VPN/改进性能(EP)--这一先进的接口模块(AIM)VPN模块可以添加所有当前的Cisco 2600系列产品中,但该模块主要面向Cisco 2650高性能路由器 。这一型号能够以14Mbps 3重数据加密标准(3DES)性能(基于1400字节的分组)在 Cisco 2650中提供基于硬件的加密服务 。这一模块要求最低12.2 (2) T的IOS 。Cisco 3620与3640网络模块(NM)-VPN/中等性能(MP)--这一NM受现在所有的Cisco 3620与3640平台的支持,能够以18Mbps的3DES性能(基于1400字节分组)提供基于硬件的加密服务 。Cisco 3660 AIM-VPN/高性能(HP)--这一NM受现在所有的Cisco 3660平台的支持,能够以40Mbps的3DES性能(基于1400字节分组)提供基于硬件的加密服务 。除加密处理外,Cisco 2660与3600系列VPN模块还能够处理各种其它与IPSec相关的任务-散列、密钥交换以及安全关系的存储,这样就分担了主处理器与内存的任务,从而令其可以执行其它的路由器、语音、防火墙和入侵检测功能 。
表1
特性说明 物理特性网络模块与AIM尺寸 平台支持Cisco 2600与3600系列 硬件要求用于Cisco 2600与3660的AIM插槽,用于Cisco3620与3640的NM插槽 软件要求带有IPSec特性的Cisco IOS软件 吞吐率Cisco 2600为10Mbps,2650为14Mbps,Cisco3620与3640为18Mbps, Cisco 3660为40Mbps(基于1400字节分组) 每个路由器加密模块的数量1 最低Cisco IOS版本要求12.1(5)T或后续版本(针对AIM-EP使用12.2(2) T) 支持的加密IPSec DES与3DES,验证:RSA与DiffieHellman, 数据完整性:SHA-1与MD5 加密隧道最高数量Cisco 2600上为300个隧道,带有AIM-VPN/EP的2650有800个,Cisco3620与3640上为800个,Cisco 3660上为1800个 支持的标准IPSec/IKE: RFC 2401-2410,2411, 2451
;
表2
特性优势 基于硬件的DES与3DES加密总体加密性能比软件加密方法有所提高 从主处理器进行的高开销IPSec处理可将重要的处理资源留给其它服务,如路由、防火墙和语音 认证支持通过数字证书实现了自动验证为要求在多个地点间建立安全连接的大型网络扩展了加密的使用范围 VPN模块能够很方便地集成到新的和现有的Cisco2600与3600系列路由器中大幅度降低了系统成本、治理复杂性以及多机箱解决方案的部署复杂性 治理Cisco Secure PolicyManager,这是一种面向大中型VPN部署的综合治理工具,可以配置IPSec隧道和防火墙规则(VPN Solution Center 2.0是一个SPMPLS/IPSec治理工具) IPSec提供了保密性、数据完整性与数据源验证答应面向WAN安全地使用公共交换网和互联网特性
Cisco完全支持所有描述IPSec和相关协议的评论请求(RFC),即RFC 2401-2410 。
Cisco具体支持以下特性:
IPSec--利用加密技术提供了一个专有网络中各个对等之间的数据保密性、完整性与真实性 。Cisco完全支持封装安全有效负载(ESP)和验证报头(AH) 。IKE--根据互联网安全关系密钥治理协议或ISAKMP/Oakley,IKE提供了安全关系治理 。IKE将对一个IPSec交易中的每个对进行验证,协商安全策略并处理会话密钥的交换 。认证治理--Cisco完全支持X509.V3认证系统,用于设备验证和简单认证注册协议(SCEP),这一协议专门用于与认证权威机构进行通信 。有几家厂商(包括Verisign, Entrust Technologies和Microsoft)支持SCEP并可与Cisco设备进行互操作 。DES与3DES--所有目的地为IPSec隧道的分组均要求DES或3DES加密 。Cisco 2600与3600系列VPN模块利用DES或3DES加密数据,同时使主处理器能够处理其它任务 。RSA签名与Diffie-Hellman--在每次建立IPSec隧道时使用,用于验证IKE SA 。Diffie-Hellman用于衍生共享的加密密钥,以保护IKE SA上的数据,包括IPSec策略的协商 。增强的安全性--基于硬件的密码方法比基于软件的解决方案有更多的安全优势,包括增强了对密钥的保护 。Cisco 2600与3600系列和VPN模块已提交FIPS 140-1 2级安全性申请,但现在尚未获得批准 。Cisco IOS IPSec软件已获得FIPS 140-1 2级认证 。

推荐阅读


上一篇:菇蝇防治方法

下一篇:怎么防止猫尿床