网络安全产品

思科VPN 3000集中器系列概述

Downloads

概述

Cisco VPN 3000集中器系列允许各公司充分发挥远程访问VPN连接的无可比拟的费用节省、灵活性、性能和可靠性优势。

企业一般使用虚拟专网(VPN)在公共互连基础设施上建立安全、端到端的专用网络连接。目前,VPN已经成为远程访问连接的首选解决方案,其主要原因在于:

  • 部署一种远程访问VPN使企业可以利用Internet服务提供商提供的本地拨号基础设施来降低通信费用。
  • 远程访问VPN使移动办公人员、远程办公人员和加班人员能够充分发挥宽带连接的优势。

为了完全发挥高性能、远程访问VPN的优势,公司必须部署一种健壮、高可用性的VPN解决方案,最好是同时使用专用的VPN设备。

Cisco VPN 3000集中器系列是适用于企业部署的最佳远程访问VPN解决方案。该解决方案包括一种基于标准的易用VPN客户机和可扩展的VPN隧道终端设备,另外还包括一种使企业对自己的远程访问VPN实施轻松安装、配置和监视的管理系统。将最先进的高可用性能力与专门构建的远程访问体系结构结合在一起,Cisco VPN 3000集中器使企业能够构建高性能、可扩展和稳健的VPN基础设施来支持自己的关键业务远程访问应用。它是目前业界唯一的一种能够现场更换部件并由客户完成升级的可扩展平台。这些称为可扩展加密处理(SEP)模块的可更换部件使用户可以轻松地增加容量和吞吐量。Cisco VPN 3000集中器支持各种VPN客户机软件,包括Cisco VPN客户机、Microsoft Windows 2000 L2TP/IPsec客户机和用于Windows 95、Windows 98、Windows NT 4.0和Windows 2000的Microsoft PPTP。

5种型号

Cisco VPN 3000集中器具有5种不同的型号来满足各种业务需要。

Cisco VPN 3005集中器

Cisco VPN 3005集中器是一种专为中小规模组织机构设计的VPN平台,能够满足带宽要求高达T1/E1(4 Mbps最大性能)的全双工和多达100个的同时对话。加密处理由软件完成。但Cisco VPN 3005本身不支持升级功能。

Cisco VPN 3015集中器

Cisco VPN 3015集中器是一种专为中小规模组织机构设计的VPN平台,能够满足带宽要求高达T1/E1(4 Mbps最大性能)的全双工和多达100个的同时对话。同Cisco VPN 3005一样,加密处理由软件完成,不过Cisco VPN 3015可现场升级为Cisco VPN 3030和3060。

Cisco VPN 3030集中器

Cisco VPN 3030集中器是一种专为中型、大型组织机构设计的VPN平台,能够满足带宽要求从T1/E1到T3/E3(50Mbps最大性能)的全双工和多达1500个的同时对话。专用的SEP模块完成基于硬件的加速处理功能。Cisco VPN 3030可现场升级到Cisco VPN 3060,另外,还提供冗余和非冗余两种配置。

Cisco VPN 3060集中器

Cisco VPN 3060集中器是一种专为需要最高性能和可靠性的大型组织机构设计的VPN平台,能够满足带宽要求从部分T3到完全T3/E3甚至更高(100Mbps最大性能)和多达5000个同时对话的。专用的SEP模块完成基于硬件的加速处理功能,另外,Cisco VPN 3060还提供冗余和非冗余两种配置。

Cisco VPN 3080集中器

Cisco VPN 3080集中器为那些需要最高性能的大型企业进行过专门优化,能够支持多达10000个同时远程访问对话。专用的SEP模块完成基于硬件的加速处理功能。另外,Cisco VPN 3060只提供全冗余配置。

Cisco VPN客户机

易于部署和操作的Cisco VPN Client(Cisco VPN客户机)用于建立到Cisco VPN 3000集中器的安全的、端到端的加密隧道。这种采用遵循IPsec的简化设计思想的客户机随Cisco VPN 3000集中器一同提供,并对用户数量不予限制。Cisco VPN客户机可以预先设置成大量部署状态,在最初登录时,用户需要干预的内容很少。VPN访问策略在Cisco VPN 3000集中器内创建并集中保存,当与客户机建立起连接时,自动发往客户机。


特性与优点

表1:
  Cisco VPN 3005 Cisco VPN 3015 Cisco VPN 3030 Cisco VPN 3060 Cisco VPN 3080
同时用户 100 100 1500 5000 10000
最大LAN到LAN对话 100 100 500 1000 1000
加密吞吐量 4 Mbps 4 Mbps 50 Mbps 100 Mbps 100 Mbps
加密方法 软件 软件 硬件 硬件 硬件
加密(SEP)模块 0 0 1 2 4
冗余SEP N/A N/A 可选 可选 提供
可用扩展槽 0 4 3 2 N/A
升级能力 N/A N/A
系统内存 32MB(固定) 64MB 128MB 256MB 256MB
T1 WAN模块 固定选件 选件 选件 选件 选件
硬件配置 1U,固定 1U,可扩展 2U,可扩展 2U,可扩展 2U
双电源 单电源 可选 可选 可选 提供
客户机许可证 无限 无限 无限 无限 无限

Cisco VPN 3000集中器系列支持所有的企业应用。

产品重点

高性能、分布式处理体系结构

  • Cisco SEP模块提供基于硬件的加密功能,从而保证了在整个额定容量中保持一致的性能(Cisco VPN 3030 - 3080)
  • 大规模隧道提供了IPsec、PPTP和L2TP/IPsec连接。

可扩展性(Cisco VPN 3015 -3060)

  • 模块化设计(4个扩展槽)实现了有效的投资保护、冗余和简单的升级途径。
  • 系统体系结构的设计原则是提供一致、高可用性的性能。
  • 所有的数字设计都实现了最高的可靠性和24小时的不间断工作。
  • 健壮的测量测试程序提供了正常工作期间的监视和告警功能。
  • 与Microsoft的兼容性使大规模部署客户机软件和与相关系统进行无缝集成成为可能。

安全性

  • 完全支持现有和最新安全标准,允许与外部认证系统集成,并可以与第三方产品互操作。
  • 具备动态数据包过滤和地址转换的防火墙可以提供企业LAN所需要的安全功能。
  • 用户和用户组一级的管理实现了最大的灵活性。

高可用性

  • 冗余子系统和多机箱故障切换能力保证了最大的系统正常运行时间。
  • 丰富的测量测试和监视功能为网络管理员提供了实时监视系统状态和进行早期告警的能力。

稳健的管理特性

  • Cisco VPN 3000集中器可以使用标准的Web浏览器(HTTP或HTTPS)或通过Telnet、安全Telnet、SSH和控制台端口进行有效管理。
  • 企业和服务提供商都能得到配置和监视能力。
  • 访问级别由用户或用户组来配置,这样,安全策略的配置和维护就非常容易。


Cisco VPN 3000集中器系列技术总结

硬件

处理器

  • Motorola PowerPC处理器

内存

  • 冗余系统映像(闪存)
  • 各种内存选件(参见附表)

加密

  • Cisco VPN 3005,3015 - 软件加密
  • Cisco VPN 3030 - 3080 - 硬件加密

内置LAN接口

  • Cisco VPN 3005 - 2个自适应全双工10/100BaseTX快速以太网(公网/不可信,专网/可信)
  • Cisco VPN 3015 - 3080 - 3个自适应全双工10/100BaseTX快速以太网(公网/不可信,专网/可信,中间地带)

测量测试

  • Cisco VPN 3005前面板 - 状态指示灯
  • Cisco VPN 3005后面板 - 指示以太网端口状态的发光二极管(LED)
  • Cisco VPN 3015-3080前面板 - 指示系统、扩展模块、电源、以太网模块和风扇状态的LED
  • Cisco VPN 3015-3080后面板 - 指示以太网模块、扩展模块和电源状态的LED
  • Cisco VPN 3015-3080 - 活动监视器用于显示对话数量、集中吞吐量或CPU利用率;按键选择显示内容。

软件

客户机软件的兼容性

  • 提供集中式分离隧道控制和数据压缩功能的Cisco VPN Client(IPsec)可运行在Windows 95, 98, ME, NT 4.0, 2000上
  • Microsoft PPTP/MPPE/MPPC
  • 用于Windows 2000的Microsoft L2TP/IPsec
  • 带有ECC的MovianVPN(Certicom)手持式VPN客户机

隧道协议

  • IPsec、PPTP、L2TP、L2TP/IPsec、NAT透明IPsec

加密和认证

  • 使用DES/3DES(56/168位)的IPsec封装安全有效负载(ESP),以及使用40/128位RC4的MD5或SHA和MPPE

密钥管理

  • Internet密钥交换(IKE)

路由协议

  • RIP、RIP2、OSPF、静态自动端点发现、网络地址转换(NAT)、无差别域间路由(CIDR)

第三方兼容性

  • Certicom、iPass Ready、Funk Steel Belted RADIUS认证、NTS TunnelBuilder VPN客户机(Mac和Windows)、Microsoft Internet Explorer、Netscape Communicator、Entrust、GTE Cybertrust、Baltimore、RSA Keon

高可用性

  • 用于多机箱冗余和故障切换的VRRP协议
  • 用于客户机故障切换和重新建立连接的目标集中功能
  • 冗余SEP模块(可选)、电源和风扇(Cisco VPN 3015-3080)

管理

配置

  • 嵌入式管理接口可以通过控制台端口、Telnet、SSH和安全HTTP来进行访问
  • 管理员的访问可以配置成5种授权权限,认证可以通过TACACS+在外部完成。
  • 基于角色的管理策略可以将服务提供商和终端用户的管理功能分离开。

监视

  • 事件记录和通过电子邮件(SMTP)发送通知
  • 事件记录的自动FTP备份
  • 支持SNMP MIB-II
  • 可配置SNMP陷阱
  • 系统记录输出
  • 系统状态
  • 对话数据
  • 总统计结果

安全性

认证和记帐服务器

  • 支持冗余外部认证服务器:
  • RADIUS(远程认证拨入用户服务)
  • Microsoft NT域认证
  • RSA安全性动态(SecurID Ready)
  • 多达100名用户的内部认证服务器
  • X.509v3数字证书
  • RADIUS记帐
  • TACACS+管理用户认证

Internet数据包过滤

  • 源和目的IP地址
  • 端口和协议类型
  • 分段保护
  • FTP对话过滤

策略管理

  • 根据不同的用户或用户组
  • 过滤器描述
  • 空闲和最大对话超时
  • 时间和每日访问控制
  • 隧道协议和安全认证
  • IP池
  • 认证服务器

技术规格

端口

  • 控制台端口 - 异步串行(DB-9)

物理特征

表2:
集中器 Cisco VPN 3005 Cisco VPN 3015 Cisco VPN 3030 Cisco VPN 3060 Cisco VPN 3080
高度 1.75(4.45cm) 3.5(8.89cm) 3.5(8.89cm) 3.5(8.89cm) 3.5(8.89cm)
宽度 17.5(44.45cm) 17.5(44.45cm) 17.5(44.45cm) 17.5(44.45cm) 17.5(44.45cm)
长度 11.5(29.21cm) 14.5(36.83cm) 14.5(36.83cm) 14.5(36.83cm) 14.5(36.83cm)
重量 8.5 lbs(3.9kg) 27 lbs(12.3kg) 28 lbs(12.7kg) 33 lbs(15kg) 33 lbs(15kg)

电源类型和需求

表3:
集中器 Cisco VPN 3005 Cisco VPN 3015-3080
额定值 15瓦(51.22BTU/小时) 35瓦(119.50BTU/小时)
最大值 25瓦(85.36BTU/小时) 50瓦(170.72BTU/小时)
输入电压 100 - 240VAC 100 - 240VAC
频率 50/60 Hz 50/60 Hz
电源修正因子 通用 通用

环境条件

  • 工作温度:32 - 131℉(0 - 55℃);非工作温度:-4 - 176℉(-40 - 70℃)
  • 湿度:0 - 90%,非冷凝

遵循的标准

  • CE标志

安全性

  • UL 1950,CSA

EMC

  • FCC Part 15 (CFR 47) Class A, EN 55022 Class A, EN 50082-1, AS/NZS 3548 Class A, VCCI Class A

联系我们