为Cisco Catalyst 6500系列和Cisco 7600系列互联网路由器设计的IPSec VPN服务模块
基础设施集成式高速VPN
关键的高带宽企业应用推动了大型机构对无所不在的连接性和更高带宽的需求。许多企业正利用站点间虚拟专用网(VPN)来强化或替代其传统WAN,以便更好地满足上述新连接需求。
Cisco IPSec VPN服务模块能够为Cisco Catalyst 6500系列和Cisco 7600系列互联网路由器上的端点位置提供经济有效的VPN性能**。Cisco IPSec VPN服务模块提供的主要特性如下:
- 能集成到网络基础设施中--模块同时支持Cisco Catalyst 6500系列和Cisco 7600系列互联网路由器**。由于VPN集成在这些基础设施平台中,无需另外添置设备和网络组件就能提高网络安全性。不仅如此,全部网络服务模块都能与安全基础设施一起使用。
- 高性能和可扩展性--这个模块利用了最新的加密硬件加速技术,能够为大型分组(500字节以上)提供1.9Gpbs的3DES流量,为普通大小的分组(300字节)提供1.6Gbps的3DES流量。另外,它不但能同时端接8000条IPSec通道,还能以高于当前产品的速度设置这些通道。
- 提供高级安全服务--推出IPSec VPN模块后,为网络添加加密、认证和完整性功能变得更加容易。安全园区网、供应商边缘VPN终止和安全融合网络服务(如VoIP和存域网)等应用非常易于部署。
Cisco IPSec VPN服务模块部署
Cisco IPSec VPN服务模块适用于Cisco Catalyst6500和Cisco 7600**。它不使用任何物理WAN或LAN接口,但为VPN政策使用VLAN选择器。
|
表1 Cisco IPSec VPN服务模块特性一览 |
|
| 要求 | 特点/优势 |
| 高速VPN性能 | 大型分组的IPSec吞吐量高达1.9Gbps 3DES,300字节分组的吞吐量高达1.6Gbps |
| 将VPN集成到基础设施中 | VPN模块支持Cisco Catalyst 6500机箱,因而允许用集成式方法在基础设施中建立VPN。无需在园区网、内部网和/或城域网中使用独立的VPN设备 |
| 全套VPN特性 | 多种PKI支持,自动登记证书以及全套通道支持 |
| 适应多种网络流量类型和网络拓扑 | 借助Cisco IOS软件,几乎可以安全、可靠地传输任何类型的网络流,包括在IPSec VPN上传输多协议、组播和IP电话。不仅如此,丰富的路由功能还允许使用网状和分级网络监控 |
| 保证长VPN开机时间 | 通过IPSec、IKE保持激活信息、HSRP和环境监控路由 |
| VPN和网络基础设施管理 | VPN管理分成三类:
|
订购信息
|
表2 Cisco IPSec VPN服务模块 |
|
| Cisco部件号 | 说明 |
| WS-SVC-IPSEC-1 | 为Cisco Catalyst 6500的千兆位IPSec VPN服务模块 |
技术总结
VPN隧道
- IPSec (IP Security-RFC 2401-2411,2451)
加密
- ESP DES和3DES (RFC 2406,2451)
认证
- X.509数字证书(RSA签名)
- 共享密钥
- 简单证书登记协议
- RADIUS(RFC 2138)
- TACACS+
- CHAP/PAP(RFC 1994)
完整性
- HMAC-MD5 & HMAC-SHA-1(RFC 2403-2404)
密钥管理
- 互联网密钥交换(RFC 2407-2409)
- IKE-XAUTH
- IKE-CFG-MODE
证书认证
- Entrust
- VeriSign
- Microsoft
- IPlanet
- Baltimore Technologies
弹性
- 热备份路由器协议(HSRP)
- IKE保持激活信息
- IPSec路由
管理选项
- VPN Device Manager (VDM)预载
- Cisco Works 2000
- 使用安全套接层(SSH)或kerberized telnet的安全命令行界面
路由协议
- BGP4
- RIP/RIP2
- OSPF
- EIGRP IGRP
- IS-IS
嵌入式接口
- 无
模块支持
- 所有Cisco Catalyst 6500/Cisco 7600 GE & FE接口模块
- MSFC2/SUP2
**在未来版本中(Cisco 7600在初始发布后三周内提供支持)
转载地址:http://www.netsp.com.cn/Article/company/cisco/fwvpn/200504/20050404221137.html
