面向Cisco 2600与3600系列的模块化多服务路由器虚拟专用网模块

该产品适用于企业分支机构，用于连接远程办公室、移动用户、合作伙伴外部网或服务供应商管理的服务客户端设备（CPE），它提供了大量集成的路由、防火墙、入侵检测与VPN功能。作为Cisco VPN解决方案不可分割的一部分，Cisco 2600与3600系列VPN模块提供了业界标准的加密（IPSec）、应用感知服务质量（QoS）、带宽管理和强大的安全功能。

图1 Cisco 2600与3600系列VPN模块

VPN模块硬件有四种形式：

• Cisco 2600 AIM-VPN/基本性能（BP）--这一先进的接口模块（AIM）可以添加到所有当前的Cisco 2600系列产品中（包括Cisco 2650），以10Mbps 3重数据加密标准（3DES）性能（基于1400字节的分组）提供基于硬件的加密服务。
• Cisco 2600 AIM-VPN/改进性能（EP）--这一先进的接口模块（AIM）VPN模块可以添加所有当前的Cisco 2600系列产品中，但该模块主要面向Cisco 2650高性能路由器。这一型号能够以14Mbps 3重数据加密标准（3DES）性能（基于1400字节的分组）在 Cisco 2650中提供基于硬件的加密服务。这一模块要求最低12.2 (2) T的IOS。
• Cisco 3620与3640网络模块（NM）－VPN/中等性能（MP）--这一NM受现在所有的Cisco 3620与3640平台的支持，能够以18Mbps的3DES性能（基于1400字节分组）提供基于硬件的加密服务。
• Cisco 3660 AIM-VPN/高性能（HP）--这一NM受现在所有的Cisco 3660平台的支持，能够以40Mbps的3DES性能（基于1400字节分组）提供基于硬件的加密服务。

除加密处理外，Cisco 2660与3600系列VPN模块还能够处理各种其它与IPSec相关的任务－散列、密钥交换以及安全关系的存储，这样就分担了主处理器与内存的任务，从而令其可以执行其它的路由器、语音、防火墙和入侵检测功能。

表2

特性
Cisco完全支持所有描述IPSec和相关协议的评论请求（RFC），即RFC 2401-2410。

Cisco具体支持以下特性：

• IPSec--利用加密技术提供了一个专有网络中各个对等之间的数据保密性、完整性与真实性。Cisco完全支持封装安全有效负载（ESP）和验证报头（AH）。
• IKE--根据互联网安全关系密钥管理协议或ISAKMP/Oakley，IKE提供了安全关系管理。IKE将对一个IPSec交易中的每个对进行验证，协商安全策略并处理会话密钥的交换。
• 认证管理--Cisco完全支持X509.V3认证系统，用于设备验证和简单认证注册协议（SCEP），这一协议专门用于与认证权威机构进行通信。有几家厂商（包括Verisign, Entrust Technologies和Microsoft）支持SCEP并可与Cisco设备进行互操作。
• DES与3DES--所有目的地为IPSec隧道的分组均要求DES或3DES加密。Cisco 2600与3600系列VPN模块利用DES或3DES加密数据，同时使主处理器能够处理其它任务。
• RSA签名与Diffie-Hellman--在每次建立IPSec隧道时使用，用于验证IKE SA。Diffie-Hellman用于衍生共享的加密密钥，以保护IKE SA上的数据，包括IPSec策略的协商。
• 增强的安全性--基于硬件的密码方法比基于软件的解决方案有更多的安全优势，包括增强了对密钥的保护。

Cisco 2600与3600系列和VPN模块已提交FIPS 140-1 2级安全性申请，但现在尚未获得批准。Cisco IOS IPSec软件已获得FIPS 140-1 2级认证。

用于IPSec VPN的Cisco管理软件

用于基于企业的VPN网络的管理工具
Config Maker

Config Maker是一种易于使用的独立式Windows GUI，可使用户执行与控制台端口直接相连的或基于Telnet的简单IPSec配置规则。注册用户可以从www.cisco.com的Cisco软件中心免费下载Config Maker。Config Maker适用于那些Cisco CLI经验较少而且计划部署一个简单的VPN（3到10个设备）的用户。

Cisco Secure Policy Manager

Cisco Secure Policy Manager (CSPM)是一种基于Windows NT的软件工具。CSPM 2.3版是Cisco安全策略管理工具的最新版本，利用这一工具，客户可以从一个中央地点定义、分布、执行并检查网络中的安全策略。CSPM简化了对复杂网络安全要素的管理，例如基于IPSec的VPN。除管理Cisco VPN路由器外，CSPM还能够管理Cisco PIX防火墙和Cisco入侵检测系统（IDS）。CSPM能够为企业客户大幅度简化Cisco IOS防火墙以及Cisco IOS IPSec VPN部署，使管理员也能利用一个中央工具定义高级的安全策略。

用于服务供应商VPN网络的管理工具

VPN Solution Center 2.0

Cisco VPN Solution Center (VPNSC) 2.0版的推出使供应商能够用一个工具管理IPSec和基于MPLS的IP VPN。此外，VPNSC还提供了一套服务管理解决方案，使服务供应商能够针对VPN服务进行有效的计划、配置、运行与计费。

在服务供应商构建包括WAN交换机、路由器、防火墙、VPN集中器和Cisco IOS软件时，他们需要在网络基础设施中无缝地管理这些设备并为客户提供服务水平协议（SLA）。他们还需要使企业客户能够对网络服务和应用进行个性化访问。VPNSC为服务供应商提供了第一个经济有效的电信级VPN服务管理方案，使其能够快速部署许多企业现在需要的外包VPN服务。该产品在面向每个地点的平台上将强大的IPSec VPN服务与Cisco IOS软件的所有其它特性结合在了一起，这些地点包括小型机构和公司总部。

VPNC 2.0支持作为MPLS客户端设备（CPE）和作为IPSec设备的Cisco 2600系列路由器。这样供应商就可以同时管理IPSec与基于MPLS的IP VPN。

VPNSC 2.0也支持作为MPLS客户端设备（CPE）和IPSec设备的Cisco 3600系列路由器。此外，Cisco 3640与3660作为供应商边缘PE设备也受VPNSC 2.0的支持。

Cisco 2600与3600系列VPN模块软件

Cisco 2600与3600系列VPN模块受Cisco IOS软件12.1 (5) T及后续版本的支持。Cisco IOS IP防火墙plus IPSec 3DES软件包含Cisco IOS软件所有的IPSec、防火墙和plus特性，同时支持3DES与DES（56位）加密，而IPSec 56版软件支持DES（56位）加密。关于12.2 (2) T的内存要求请参见表3。

安装了VPN模块的Cisco 2600或3600系列路由器针对Cisco IOS 12.1 (5) T及后续版本软件支持任何特性集，但这种模块只与IPSec特性集共同使用。例如，Cisco 2600与3600系列Cisco IOS IP软件（12.1 (2) T）可在一个安装了VPN模块的Cisco 2600与3600系列路由器上运行，但它不支持IPSec，也不会使用VPN模块的特性。

VPN模块的出口规定

用于VPN模块的DES与3DES软件受美国加密产品出口规定的管辖。模块本身不受管辖，但按照美国规定，必须记录DES与3DES软件接收方的名称和地址。针对DES和3DES软件的Cisco订购流程符合这些要求。如需详细信息请访问：http: //www.cisco.com/wwl/export/encrypt.html.

规格

产品编号与说明

• AIM-VPN/BP-DES/3DES VPN Encryption AIM for 2600-基本性能 o
• AIM-VPN/EP-DES/3DES VPN Encryption AIM for 2600-改进性能
• NM-VPN/MP-DES/3DES VPN Encryption NM for 3620/3640-中等性能
• AIM-VPN/HP-DES/3DES VPN Encryption AIM for 3660-高性能

标准 (Cisco IOS IPSec)

• IPSec (RFCs 2401-2410)
• IPSec 封装安全有效负载 (ESP)，使用DES/3DES (RFC 2406)
• IPSec Authentication Header (AH) ，使用MD5或SHA (RFCs 2403-2404)
• 互联网密钥交换 (IKE) (RFCs 2407-2409)

（责任编辑：城尘 68476636-8003）