设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 1315|回复: 0

面向Cisco 2600与3600系列的模块化多服务路由器虚拟专用网模块

[复制链接]
xinghe0

尚未签到
发表于 2015-5-24 13:51:02 | 显示全部楼层 |阅读模式
http://www.cisco.com/global/CN/images/spacer.gif Cisco 2600与3600系列模块化多服务路由器虚拟专用网模块(VPN模块)为虚拟专用网(VPN)优化了平台。通过卸载路由器中央处理元件的加密处理,Cisco 2600与3600系列VPN模块提供了比纯软件加密高10倍的性能。
http://www.cisco.com/global/CN/images/spacer.gif该产品适用于企业分支机构,用于连接远程办公室、移动用户、合作伙伴外部网或服务供应商管理的服务客户端设备(CPE),它提供了大量集成的路由、防火墙、入侵检测与VPN功能。作为Cisco VPN解决方案不可分割的一部分,Cisco 2600与3600系列VPN模块提供了业界标准的加密(IPSec)、应用感知服务质量(QoS)、带宽管理和强大的安全功能。
图1 Cisco 2600与3600系列VPN模块


VPN模块硬件有四种形式:


  • Cisco 2600 AIM-VPN/基本性能(BP)--这一先进的接口模块(AIM)可以添加到所有当前的Cisco 2600系列产品中(包括Cisco 2650),以10Mbps 3重数据加密标准(3DES)性能(基于1400字节的分组)提供基于硬件的加密服务。
  • Cisco 2600 AIM-VPN/改进性能(EP)--这一先进的接口模块(AIM)VPN模块可以添加所有当前的Cisco 2600系列产品中,但该模块主要面向Cisco 2650高性能路由器。这一型号能够以14Mbps 3重数据加密标准(3DES)性能(基于1400字节的分组)在 Cisco 2650中提供基于硬件的加密服务。这一模块要求最低12.2 (2) T的IOS。
  • Cisco 3620与3640网络模块(NM)-VPN/中等性能(MP)--这一NM受现在所有的Cisco 3620与3640平台的支持,能够以18Mbps的3DES性能(基于1400字节分组)提供基于硬件的加密服务。
  • Cisco 3660 AIM-VPN/高性能(HP)--这一NM受现在所有的Cisco 3660平台的支持,能够以40Mbps的3DES性能(基于1400字节分组)提供基于硬件的加密服务。
  除加密处理外,Cisco 2660与3600系列VPN模块还能够处理各种其它与IPSec相关的任务-散列、密钥交换以及安全关系的存储,这样就分担了主处理器与内存的任务,从而令其可以执行其它的路由器、语音、防火墙和入侵检测功能。
http://www.cisco.com/global/CN/images/spacer.gifhttp://www.cisco.com/global/CN/images/spacer.gif
表1
http://www.cisco.com/global/CN/images/spacer.gif		http://www.cisco.com/global/CN/images/corner_ur_7.gif
特性 说明
物理特性网络模块与AIM尺寸
平台支持Cisco 2600与3600系列
硬件要求用于Cisco 2600与3660的AIM插槽,用于Cisco 3620与3640的NM插槽
软件要求带有IPSec特性的Cisco IOS软件
吞吐率Cisco 2600为10Mbps,2650为14Mbps,Cisco 3620与3640为18Mbps, Cisco 3660为40Mbps(基于1400字节分组)
每个路由器加密模块的数量1
最低Cisco IOS版本要求12.1(5)T或后续版本(针对AIM-EP使用12.2 (2) T)
支持的加密IPSec DES与3DES,验证:RSA与Diffie Hellman, 数据完整性:SHA-1与MD5
加密隧道最高数量Cisco 2600上为300个隧道,带有AIM-VPN/EP的2650有800个,Cisco 3620与3640上为800个,Cisco 3660上为1800个
支持的标准IPSec/IKE: RFC 2401-2410, 2411, 2451
http://www.cisco.com/global/CN/images/spacer.gif
>> 返回顶部
http://www.cisco.com/global/CN/images/spacer.gif
  
http://www.cisco.com/global/CN/images/spacer.gifhttp://www.cisco.com/global/CN/images/spacer.gif
表2
http://www.cisco.com/global/CN/images/spacer.gif		http://www.cisco.com/global/CN/images/corner_ur_7.gif
特性 优势
基于硬件的DES与3DES加密总体加密性能比软件加密方法有所提高
从主处理器进行的高开销IPSec处理可将重要的处理资源留给其它服务,如路由、防火墙和语音
认证支持通过数字证书实现了自动验证为要求在多个地点间建立安全连接的大型网络扩展了加密的使用范围
VPN模块能够很方便地集成到新的和现有的Cisco 2600与3600系列路由器中大幅度降低了系统成本、管理复杂性以及多机箱解决方案的部署复杂性
管理Cisco Secure Policy Manager,这是一种面向大中型VPN部署的综合管理工具,可以配置IPSec隧道和防火墙规则(VPN Solution Center 2.0是一个SP MPLS/IPSec管理工具)
IPSec提供了保密性、数据完整性与数据源验证允许面向WAN安全地使用公共交换网和互联网
http://www.cisco.com/global/CN/images/spacer.gif
>> 返回顶部
http://www.cisco.com/global/CN/images/spacer.gif
  
特性

Cisco完全支持所有描述IPSec和相关协议的评论请求(RFC),即RFC 2401-2410。

  Cisco具体支持以下特性:


  • IPSec--利用加密技术提供了一个专有网络中各个对等之间的数据保密性、完整性与真实性。Cisco完全支持封装安全有效负载(ESP)和验证报头(AH)。
  • IKE--根据互联网安全关系密钥管理协议或ISAKMP/Oakley,IKE提供了安全关系管理。IKE将对一个IPSec交易中的每个对进行验证,协商安全策略并处理会话密钥的交换。
  • 认证管理--Cisco完全支持X509.V3认证系统,用于设备验证和简单认证注册协议(SCEP),这一协议专门用于与认证权威机构进行通信。有几家厂商(包括Verisign, Entrust Technologies和Microsoft)支持SCEP并可与Cisco设备进行互操作。
  • DES与3DES--所有目的地为IPSec隧道的分组均要求DES或3DES加密。Cisco 2600与3600系列VPN模块利用DES或3DES加密数据,同时使主处理器能够处理其它任务。
  • RSA签名与Diffie-Hellman--在每次建立IPSec隧道时使用,用于验证IKE SA。Diffie-Hellman用于衍生共享的加密密钥,以保护IKE SA上的数据,包括IPSec策略的协商。
  • 增强的安全性--基于硬件的密码方法比基于软件的解决方案有更多的安全优势,包括增强了对密钥的保护。
  Cisco 2600与3600系列和VPN模块已提交FIPS 140-1 2级安全性申请,但现在尚未获得批准。Cisco IOS IPSec软件已获得FIPS 140-1 2级认证。
用于IPSec VPN的Cisco管理软件
用于基于企业的VPN网络的管理工具

Config Maker
http://www.cisco.com/global/CN/images/spacer.gifConfig Maker是一种易于使用的独立式Windows GUI,可使用户执行与控制台端口直接相连的或基于Telnet的简单IPSec配置规则。注册用户可以从www.cisco.com的Cisco软件中心免费下载Config Maker。Config Maker适用于那些Cisco CLI经验较少而且计划部署一个简单的VPN(3到10个设备)的用户。
  Cisco Secure Policy Manager
http://www.cisco.com/global/CN/images/spacer.gifCisco Secure Policy Manager (CSPM)是一种基于Windows NT的软件工具。CSPM 2.3版是Cisco安全策略管理工具的最新版本,利用这一工具,客户可以从一个中央地点定义、分布、执行并检查网络中的安全策略。CSPM简化了对复杂网络安全要素的管理,例如基于IPSec的VPN。除管理Cisco VPN路由器外,CSPM还能够管理Cisco PIX防火墙和Cisco入侵检测系统(IDS)。CSPM能够为企业客户大幅度简化Cisco IOS防火墙以及Cisco IOS IPSec VPN部署,使管理员也能利用一个中央工具定义高级的安全策略。
用于服务供应商VPN网络的管理工具
  VPN Solution Center 2.0
http://www.cisco.com/global/CN/images/spacer.gifCisco VPN Solution Center (VPNSC) 2.0版的推出使供应商能够用一个工具管理IPSec和基于MPLS的IP VPN。此外,VPNSC还提供了一套服务管理解决方案,使服务供应商能够针对VPN服务进行有效的计划、配置、运行与计费。
http://www.cisco.com/global/CN/images/spacer.gif在服务供应商构建包括WAN交换机、路由器、防火墙、VPN集中器和Cisco IOS软件时,他们需要在网络基础设施中无缝地管理这些设备并为客户提供服务水平协议(SLA)。他们还需要使企业客户能够对网络服务和应用进行个性化访问。VPNSC为服务供应商提供了第一个经济有效的电信级VPN服务管理方案,使其能够快速部署许多企业现在需要的外包VPN服务。该产品在面向每个地点的平台上将强大的IPSec VPN服务与Cisco IOS软件的所有其它特性结合在了一起,这些地点包括小型机构和公司总部。
http://www.cisco.com/global/CN/images/spacer.gifVPNC 2.0支持作为MPLS客户端设备(CPE)和作为IPSec设备的Cisco 2600系列路由器。这样供应商就可以同时管理IPSec与基于MPLS的IP VPN。
http://www.cisco.com/global/CN/images/spacer.gifVPNSC 2.0也支持作为MPLS客户端设备(CPE)和IPSec设备的Cisco 3600系列路由器。此外,Cisco 3640与3660作为供应商边缘PE设备也受VPNSC 2.0的支持。
  Cisco 2600与3600系列VPN模块软件
http://www.cisco.com/global/CN/images/spacer.gifCisco 2600与3600系列VPN模块受Cisco IOS软件12.1 (5) T及后续版本的支持。Cisco IOS IP防火墙plus IPSec 3DES软件包含Cisco IOS软件所有的IPSec、防火墙和plus特性,同时支持3DES与DES(56位)加密,而IPSec 56版软件支持DES(56位)加密。关于12.2 (2) T的内存要求请参见表3。
http://www.cisco.com/global/CN/images/spacer.gif安装了VPN模块的Cisco 2600或3600系列路由器针对Cisco IOS 12.1 (5) T及后续版本软件支持任何特性集,但这种模块只与IPSec特性集共同使用。例如,Cisco 2600与3600系列Cisco IOS IP软件(12.1 (2) T)可在一个安装了VPN模块的Cisco 2600与3600系列路由器上运行,但它不支持IPSec,也不会使用VPN模块的特性。
  VPN模块的出口规定
http://www.cisco.com/global/CN/images/spacer.gif用于VPN模块的DES与3DES软件受美国加密产品出口规定的管辖。模块本身不受管辖,但按照美国规定,必须记录DES与3DES软件接收方的名称和地址。针对DES和3DES软件的Cisco订购流程符合这些要求。如需详细信息请访问:http://www.cisco.com/wwl/export/encrypt.html.
http://www.cisco.com/global/CN/images/spacer.gifhttp://www.cisco.com/global/CN/images/spacer.gif
表3 Cisco 2600与3600系列IPSec软件12.2 (1) T的内存要求
http://www.cisco.com/global/CN/images/spacer.gif		http://www.cisco.com/global/CN/images/corner_ur_7.gif
产品名2600/3600/3660映像名软件映像所要求的闪存
2600/3620
/3640/3660		所要求的
DRAM内存
2600/3620
/3640/3660		运行
S26/36AL
S26/36AL Enterprise Plus IPSec 56 (DES)C2600/3620
/3640/3660
-js56i-mz
16/16/32/3264/64/96/96RAM
S26/36AK2Enterprise Plus IPSec 3DESC2600/3620
/3640/3660
-jk2s-mz		16/32/32/3264/64/96/96RAM
S26/36AHLEnterprise IP/FW/IDS Plus IPSec 56C2600/3620
/3640/3660
-jo3s56i-mz		16/32/32/3264/64/96/96RAM
S26/36AHK2Enterprise IP/FW/IDS Plus IPSec 3DESC2600/3620
/3640/3660
-jk2o3s-mz		16/32/32/3264/64/96/96RAM
S26/36AR1LEnterprise/SNASW PLUS IPSEC 56C2600/3620
/3640/3660
-a3js56I-mz		16/32/32/3264/64/96/96RAM
S26/36AR1K2Enterprise/SNASW PLUS IPSEC 3DESC2600/3620
/3640/3660
-a3jk2s-mz		16/32/32/3264/64/96/96RAM
S26/36CLIP Plus IPSec 56 (DES)C2600/3620
/3640/3660
-is56i-mz		16/32/32/3264/64/64/64RAM
S26/36CK2IP PLUS IPSEC 3DESC2600/3620
/3640/3660
-ik2s-mz		16/32/32/3264/64/64/64RAM
S26/36CHLIP/FW/IDS Plus IPSec 56 DESC2600/3620
/3640/3660
-io3s56I-mz		16/32/32/3264/64/64/64RAM
S26/36CHK2IP/FW/IDS Plus IPSec 3DESC2600/3620
/3640/3660
-ik2o3s-mz		16/32/32/3264/64/64/64RAM
http://www.cisco.com/global/CN/images/spacer.gif
>> 返回顶部
http://www.cisco.com/global/CN/images/spacer.gif
规格
  产品编号与说明

  • AIM-VPN/BP-DES/3DES VPN Encryption AIM for 2600-基本性能 o
  • AIM-VPN/EP-DES/3DES VPN Encryption AIM for 2600-改进性能
  • NM-VPN/MP-DES/3DES VPN Encryption NM for 3620/3640-中等性能
  • AIM-VPN/HP-DES/3DES VPN Encryption AIM for 3660-高性能
  标准 (Cisco IOS IPSec)

  • IPSec (RFCs 2401-2410)
  • IPSec 封装安全有效负载 (ESP),使用DES/3DES (RFC 2406)
  • IPSec Authentication Header (AH) ,使用MD5或SHA (RFCs 2403-2404)
  • 互联网密钥交换 (IKE) (RFCs 2407-2409)
  环境

  • 工作温度: 32-104°F (0 -40℃)
  • 非工作温度: -4 -149°F (-20-65℃)
  • 相对湿度: 10-85%,非冷凝(工作时);5-95%,非冷凝(非工作时)
http://www.cisco.com/global/CN/images/spacer.gifhttp://www.cisco.com/global/CN/images/spacer.gif
尺寸与重量
http://www.cisco.com/global/CN/images/spacer.gif		http://www.cisco.com/global/CN/images/corner_ur_7.gif
模块重量
AIM-VPN/BP5.25 in. (13.34 cm).95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg)
AIM-VPN/EP5.25 in. (13.34 cm) .95 in. (2.41 cm) 3.25 in. (8.26 cm) .60 lb. (.27 kg)
NM-VPN/MP7.10 in. (18.03 cm) 1.65 in. (4.19 cm) 7.20 in. (18.29 cm) 1.1 lb. (.5 kg)
AIM-VPN/HP5.25 in. (13.34 cm).95 in. (2.41 cm)3.25 in. (8.26 cm).6 lb. (.27 kg)
http://www.cisco.com/global/CN/images/spacer.gif
>> 返回顶部
http://www.cisco.com/global/CN/images/spacer.gif
  规定的符合情况,安全,EMC,Telecom,网络确认情况
  安装在一个Cisco 2600与3600路由器中以后,VPN模块不会改变路由器的标准(规定的符合情况,安全,EMC,Telecom,网络确认)。请参见Cisco 2600与3600路由器的产品资料。

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-70167-1-1.html 上篇帖子: cisco交换机忘记密码处理 下篇帖子: 如何自动在多台cisco交换机更改相同的配置命令
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表