思科集成多业务路由器(ISR)

USB eTOKEN和USB闪存特性

Downloads

USB eTOKEN和USB闪存特性

思科®集成多业务路由器能够以线速安全地提供并发数据、语音和视频服务(图1)。路由器的通用串行总线(USB)端口支持重要的安全和存储功能,包括执行安全设备验证,存储可拆卸的证书以建立安全的VPN连接,安全分发配置文件,以及为文件和配置提供大量闪存存储等。

图1 Cisco 800、1800、2800和3800系列集成多业务路由器

Cisco 800、1800、2800和3800系列集成多业务路由器

新一代集成多业务路由器的体系结构得到了多方面的改进,包括集成了USB端口。为充分利用USB端口的功能,还新增了两个特性:USB eToken支持和USB闪存支持。

USB是一种低成本的双向动态连接串行接口。Cisco 1841、2800系列和3800系列上支持USB 1.1,Cisco 871、1811和1812上支持USB 2.0。配有内置USB端口的所有路由器上都支持eToken和USB闪存新特性,包括Cisco 871、1811、1812和1841路由器,以及Cisco 2800系列和3800系列集成多业务路由器。

USB eToken和闪存特性能够为思科路由器提供内置USB端口,以便支持eToken和USB闪速存储器。USB eToken特性提供了安全配置分发,使用户能够保存供部署用的VPN证书。eToken由Aladdin Knowledge Systems供应,如果想订购,请访问:http://www.aladdin.com/etoken/cisco。利用USB闪存特性,用户能够通过USB闪速存储器存储镜像和配置。USB闪速存储器可以从思科系统公司订购(表1)。

USB eToken特性

USB eToken特性支持设备验证,并且能够简化思科路由器的部署和安全配置。它使用USB中的智能卡技术执行验证和配置过程。令牌能提供对路由器的安全访问 -- 只有拥有了令牌和PIN,才能访问配置、密钥和证书。另外,令牌还可以安全地提供路由器配置,因为配置可以在令牌上加密。

图2 配有两个USB端口的Cisco 2851集成多业务路由器,Aladdin Knowledge System生产的eToken

配有两个USB端口的Cisco 2851集成多业务路由器,Aladdin Knowledge System生产的eToken

USB eToken可用于存储文件。需要安全保存且适合使用eToken的任何文件都可以存储,包括X.509数字证书和配置文件。这些文件可以利用Cisco IOS Software CLI命令从路由器传输到eToken,也可以使用Aladdin Knowledge Systems提供的称为令牌管理系统(TMS)的GUI软件应用。如果想详细了解TMS,或者想订购eTokens,请访问:http://www.aladdin.com/etoken/cisco

USB闪存特性

USB闪存特性提供了可选的备用存储功能。软件镜像、配置或其它文件可以复制到思科USB闪速存储器,也可以从USB闪速存储器复制,而且可靠性与使用Compact Flash保存和恢复文件的可靠性相当。思科USB闪速存储器包括64MB、128MB和256MB几种规格。

部署应用

这些特性共有三种主要应用驱动程序 -- 可撤销证书、闪存存储和无接触或低接触配置应用。

可拆卸证书的应用

这种应用对VPN部署情况非常有用,它使用智能卡令牌存储RSA密钥对、一份或多份根证书以及VPN部署配置。插入到路由器中之后,路由器将从令牌上保存的配置启动(或者通过命令行界面[CLI]从另一配置启动)。令牌中的智能卡将使用RSA密钥对和根证书对一个或多个IP安全(IPSec)通道进行验证。令牌可能包含多份根证书,因为一台路由器可能会建立与多个VPN的多条通道。证书数量因平台而异(与路由器的角色有关)。另外,令牌密钥还可以用于向路由器提供配置,因为配置可以在令牌密钥上加密。

由于路由器等远程设备一般都部署在安全性较低的地方,因而特别需要加强安全性。利用可撤销证书特性,可以通过两级验证提高远程位置的安全性。只有满足了以下两个条件,才能在远程位置部署路由器:

  • 必须在路由器中插入智能卡
  • 用户必须输入智能卡的PIN(如果未使用默认令牌PIN的话)

将VPN证书保存在安全eToken上之后,如果需要重新部署路由器,或者在租赁期满后或需返回维修时,可以方便地移去证书。

闪存存储应用

客户可以在USB令牌闪存设备上部署配置和Cisco IOS? ®Software镜像。这些USB闪存驱动器可用于存储Cisco IOS镜像、配置或其它类型的文件。虽然Compact Flash设备也能实现这些功能,但闪存存储特性至少为客户提供了另一种选择。与Compact Flash相比,许多客户更愿意使用USB媒体。

USB闪存存储有利于执行Cisco IOS Software分布。Cisco IOS镜像可以通过PC直接下载到PC的USB闪存设备,然后再转移到路由器上。

无接触或低接触部署应用

利用这些USB特性,企业客户或电信运营商在供货和部署之前不需要物理加载各种配置就能实现路由器的网络部署。另外,路由器不需要作任何配置就可以直接从工厂发给最终用户。两种USB特性都可以将引导配置加载到eToken或USB闪存中。在引导配置的帮助下远程站点建立连接后,可以与Cisco CNS 2100系列智能引擎或普通文件传输协议(TFTP)服务器联络,下载完整配置。这种配置的另一个优点是,不需要掌握高深的技术知识就可以在远程站点执行各种任务。

各种特性的优点

eToken USB特性

  • 可拆卸证书允许远程部署路由器;
  • 安全证书在物理上与路由器机箱分离;
  • eToken要求用户输入PIN才能访问保存的信息,从而提高了安全性。这个过程同时还提高了应用安全性,因为它同时需要智能卡本身(用户拥有的)和密码(用户知道的),即提供了两级安全验证,从而大大降低了智能卡丢失或被盗后第三方访问信息的可能性。
  • 从配置角度看,当客户从思科(或经销商)订购路由器时,可以要求预安装Cisco IOS镜像,将路由器直接送往客户地点,或者通过分发eToken设备以无接触或低接触方式提供配置文件。这样,客户或电信运营商无需聘用高技能人员就能完成路由器的安装。

USB闪存特性

  • 客户可以将配置和镜像存储在USB令牌闪存设备上;
  • USB闪存驱动器可以取代Compact Flash存储文件和镜像。由于USB接口比较普及,因此,客户更愿意使用这种设备。

Cisco IOS Software 12.3(14)T支持USB eToken和USB闪存特性。USB eToken特性需要高级安全、高级IP服务或高级企业服务Cisco IOS特性集。所有Cisco IOS特性集都支持USB闪存特性。

如果想详细了解USB eToken和USB闪存特性,请访问:http://www.cisco.com/go/USB

联系我们