思科路由产品

Cisco 7600系列/Catalyst 6500系列IPSec VPN共享端口适配器

Cisco ® I-Flex 设计融合了 SPA( 共享端口适配器 ) 和 SIP (SPA 接口处理器 ) 的优势,利用可扩展的设计为语音、视频和数据服务提供了服务优先级划分。大型企业和 电信运营商 客户可以充分享受在思科不同路由平台间可互换的模块化端口适配器所带来的更高插槽经济性。 I-Flex 设计通过线速性能的可编程接口处理器,提供了最多的连接选项和出色的服务智能。 I-Flex 提高了服务创收的速度,提供了丰富的 QoS 特性集,实现了最优质的服务部署,并且有效地降低了总体拥有成本。 该产品简介中提供了 Cisco ® 7600 系列 /Catalyst ® 6500 系列 IPSec VPN 共享端口适配器( Cisco IPSec VPN SPA )的详细说明。

产品概述

为满足当今关键业务高带宽应用的要求,企业和电信运营商需要广泛、安全的连接。许多企业都用其站点间 VPN 和远程接入 VPN 取代传统广域网,电信运营商则纷纷提供托管式 VPN 服务,包括虚拟化网络 VPN 。 Cisco IPSec VPN SPA 不但能提供下一代加密技术,还能提供设计合理的机型,以便建立更灵活、可扩展性更高的网络基础设施(见图 1 )。

图1 Cisco IPSec VPN SPA

Cisco IPSec VPN SPA

Cisco IPSec VPN SPA 能够为 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器提供经济、有效、便于扩展的 VPN 性能。利用 Cisco 7600 系列 /Catalyst 6500 系列 Services SPA Carrier-400 ( Cisco Services SPA Carrier-400 ), Cisco Catalyst 6500 或 Cisco 7600 的每个插槽都能支持多达两个 Cisco IPSec VPN SPA 。 Cisco IPSec VPN SPA 没有物理接口,但它可以使用每个平台的各种 LAN 和 WAN 接口。

主要特性和优点

Cisco IPSec VPN SPA 的主要特性如表 1 所示。

表1 Cisco IPSec VPN SPA的特性
特性 说明
下一代加密技术

除支持数据加密标准( DES )和三重数据加密标准( 3DES )外, Cisco IPSec VPN SPA 还支持高级加密标准( AES ),包括各种密钥长度( 128 位、 192 位和 256 位密钥)。 AES 是下一代加密技术,能够提供极高的 IPSec VPN 安全性和互操作性。

高速 VPN 性能

利用高速 VPN 性能,能够提供 2.5Gbps 的 AES 和 3DES IPSec 吞吐量, 为 IMIX 流量提供 1.6Gbps 的吞吐量。

可扩展性

为提供 25Gbps 的总吞吐量,最多可以在一个系统中安装 10 个 Cisco IPSec VPN SPA ,以便为 10Gbps 以太网接口提供线速安全传输。

紧凑的机型

利用 Cisco Services SPA Carrier-400 , Cisco Catalyst 6500 或 Cisco 7600 的每个插槽最多能够支持两个 IPSec VPN SPA 。 SPA 的半高机架不但能减少占用的插槽,还能提高每个插槽的总性能。

超长帧支持

Cisco IPSec VPN SPA 支持 9100 字节的超长帧,而且不需要由控制引擎分片。

将 VPN 全面集成到网络基础设施中

Cisco IPSec VPN SPA 不但支持 Cisco Catalyst 6500 系列和 Cisco 7600 系列机箱,还支持各种接口,使企业能够利用集成式安全方式建立 VPN ,而不需要在园区网、内部网、互联网数据中心或 POP 点部署独立的 VPN 设备。

全面的 VPN 特性

Cisco IPSec VPN SPA 不仅为 IPSec 和 GRE 提供硬件加速,还全面支持站点间 IPSec 、远程接入 IPSec 以及证书授权 / 公共密钥基础设施( CA/PKI )。

多种网络流量类型和拓扑

Cisco IOS ® 软件几乎可以可靠、安全地传输任何网络流量,包括通过 IPSec VPN 传输多协议、组播和 IP 电话流量。利用丰富的路由功能,可以为网状和层次化网络拓扑建立动态多点 VPN ( DMVPN ),以提高部署灵活性,并降低运营复杂性和成本。

VPN 永续性和高可靠性

IPSec 隧道路由、 DPD 、 HSRP 和 RRI 以及针对 IPSec 和 GRE 的机箱内和机箱间故障恢复能够提供极高的 VPN 永续性和高可靠性。

DMVPN

DMVPN 不但有利于建立动态部分网状或全网状站点间 VPN ,还能大大简化大型 VPN 部署的管理。利用这个特性,不需要对分支路由器执行预先配置,就可以动态建立分支隧道,使 VPN 无需修改其它分支配置就能动态添加或删除分支路由器。这种方法能够减少延迟和抖动,并提高主办公室的带宽利用率,因而能改善网络性能。它包含对全服务分支机构部署高级的 VoIP 支持。

VRF 感知型 IPSec VPN

VRF 感知型 IPSec 特性有助于将 IPSec 隧道映射到 VRF 实例,以提供基于网络的 IPSec VPN ,并将 IPSec 与 MPLS VPN 集成在一起。利用这个特性,电信运营商、大企业和教育机构可以在其网络基础设施上建立安全、便于扩展的虚拟化 VPN 服务。

VPN 和网络基础设施管理

无论是单一平台,还是成百上千个平台,全面的系统都有利于解决方案的管理。设备管理可以通过 CiscoWorks VPN/ 安全管理解决方案( VMS )的思科路由器管理中心( RMC )和 VPN 监控器组件实现。凭借这些特性,企业可以利用面向电信运营商和大企业 VPN 的 Cisco IP Solution Center ( ISC )、安全和服务质量( QoS )对网络中的多个平台执行全面的端到端管理。


上述特性能够为企业和电信运营商带来以下好处:

  • 将安全性集成到网络基础设施中 -- Cisco IPSec VPN SPA 支持 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器。将 VPN 集成到这些基础设施平台中之后,不需要部署其它设备或网络功能就能保护网络。不仅如此,无论是广泛的局域网和广域网接口,还是整个安全服务模块系列( VPN 、防火墙、网络异常检测、入侵检测和防御、内容服务、 SSL 和无线局域网),目前都可以部署在同一个平台中。
  • 业界领先的技术 -- 除 DES 和 3DES 外, Cisco IPSec VPN SPA 还应多数政府机构和领先金融机构的强烈要求,在安全要求最高的网络环境中推出了新加密技术标准 AES 。
  • 高性能 -- 每个 Cisco IPSec VPN SPA 都能支持 2.5Gbps 的 AES 和 3DES 加密数据流量。另外, Cisco IPSec VPN SPA 还能同时终结 8000 条站点间或远程接入 IPSec 隧道,并以每秒 60 个新隧道的速度设置这些通信。不仅如此, DMVPN 还可通过星形拓扑以自动、全动态方式部署 IPSec 。
  • 可以扩展的机型 -- 利用标准化 SPA 体系架构, Cisco Catalyst 6500 和 Cisco 7600 的每个插槽都能支持 2 个 Cisco IPSec VPN SPA 。一个机箱最多支持 10 个 Cisco IPSec VPN SPA ,以提供 25Gbps 的吞吐率。另外, Cisco IPSec VPN SPA 的半高卡还能帮助客户减少插槽使用,进而降低成本,并提高每插槽性能和整个系统的加密性能。
  • VPN 永续性和高可靠性 -- 利用多种创新特性,例如面向 IPSec 和 GRE 的状态化故障恢复、 HSRP+RRI 和 DPD ,以及通过站点间隧道执行的动态路由更新, Cisco IPSec VPN SPA 能提供极高的 VPN 永续性和高可靠性。
  • 高级安全服务 -- 利用 Cisco IPSec VPN SPA ,可以很方便地为网络服务添加强大的加密、认证和完整性特性。利用受保护的园区网和电信运营商边缘 VPN 应用,包括集成式数据、语音和视频 VPN 、存储局域网以及 IPSec 和 MPLS 的集成, VPN 的部署非常方便。 Cisco IPSec VPN SPA 同时通过局域网和广域网接口提供高级站点间和远程接入 IPSec 服务。

产品规格

Cisco IPSec VPN SPA 的规格如表 2 所示。

表 2 产品规格
特点 说明
VPN 隧道 IPSec ( RFCs 2401–2411 和 2451 )
加密
  • ESP
  • DES
  • 3DES
  • AES
验证
  • X.509 数字证书( RSA 签名)
  • 预共享密钥
  • SCEP
  • RADIUS ( RFC 2138 )
  • TACACS+
  • CHAP/PAP ( RFC 1994 )
完整性 带有 MD5 ( HMAC-MD5 )和安全散列算法 -1 ( HMAC-SHA-1 )的散列消息验证代码( RFC 2403 和 2404 )
密钥管理
  • 互联网密钥交换( IKE , RFC 2407-2409 )
  • IKE-XAUTH
  • IKE-CFG-MODE
CAI/PKI 支持
  • Entrust
  • VeriSign
  • Microsoft
  • Netscape
  • Iplanet
  • Baltimore Technologies
永续性和高可靠性
  • HSRP+RRI
  • 机箱内(线卡到线卡)主用 / 主用 IPSec 状态化故障恢复
  • 机箱间(机箱到机箱)主用 / 备用 IPSec 状态化故障恢复
  • DPD
  • IPSec 动态路由(参见该表的“路由协议”部分)
网络管理
  • CiscoWorks VMS 和路由器 MC
  • Cisco ISC
  • 使用 SSH 协议或 Kerberized Telnet 的安全命令行界面( CLI )
路由协议
  • BGPv4
  • RIP 和 RIP v2 ( RIPv2 )
  • OSPF
  • EIGRP 和 IGRP
  • IS-IS
交换管理引擎
  • 带 MSFC2 的 Supervisor Engine 2
  • 带 PFC-3 的 Supervisor Engine 720
支持的局域网接口
  • 多端口快速以太网
  • 带馈线电源的多端口快速以太网
  • 多端口千兆以太网
  • 万兆以太网( 10GE )
支持的广域网接口
  • FlexWAN 和增强型 FlexWAN
  • 光服务模块( OSM )和增强型 OSM
  • 千兆以太网 WAN 和增强型千兆以太网 WAN
  • 单端口和双端口 T3/E3
  • 单端口和双端口高速串行接口( HSSI )
  • 多端口 T1/E1
  • 多信道 T1/T3/E3
  • OC-3 ATM 单模( SM )和多模( MM )
  • OC-3 POS SM 和 MM
  • OC-12 ATM SM 和 MM
  • OC-12 POS SM 和 MM
  • OC-48 POS SM
  • OC-48 POS/DPT SM
可互操作的服务模块
  • Cisco Catalyst 6500 系列防火墙服务模块
  • Cisco Catalyst 6500 系列入侵检测系统服务模块 (IDSM-2)
  • Cisco Catalyst 6500 系列网络分析模块 (NAM-1 和 NAM-2)
  • Cisco Catalyst 6500 系列 SSL 服务模块
  • Cisco Catalyst 6500 系列内容交换模块
  • Cisco Catalyst 6500 /7600 系列多处理器 WAN 应用模块 (MWAM)
  • Cisco Catalyst 6500 系列无线局域网服务模块 (WLSM)
物理尺寸
  • 长度: 5.92 英寸( 15 厘米)
  • 宽度: 6.75 英寸( 17.15 厘米)
  • 高度: 1.52 英寸( 3.9 厘米)—(双高)
电源功率 25W
遵循的法规和标准 安全
  • UL 60950
  • IEC 60825-1, -2
  • IEC 60950
  • EN 60950
  • EN 60825-1, -2
  • CAN/CSA-C22.2 No. 60950-00
  • AS/NZS 3260-1993
  • 21CFR1040
  • EMC
  • FCC Part 15 (CFR 47) Class A
  • ICES-003 Class A
  • EN55022 Class A
  • CISPR22 Class A
  • AS/NZSCISPR Class A
  • VCCI Class A
  • EN55024
  • EN300 386
  • EN50082-1
  • EN61000-3-2
  • EN61000-3-3
  • NEBS 和环境标准
  • GR-63-Core NEBS Level 3
  • GR-1089-Core NEBS Level 3
  • ETSI 300 019 Storage Class 1.1
  • ETSI 300 019 Transportation Class 2.3
  • ETSI 300 019 Stationary Use Class 3.1

联系我们