Cisco 1800 Series Integrated Services Routers

VPN AIM for the Cisco 1841, 2800 and 3800 Series Integrated Services Routers

데이터시트


VPN AIM for the Cisco 1841, 2800 and 3800 Series Integrated Services Routers

Cisco 1800 시리즈 통합 서비스 라우터


Cisco® 1841 통합 서비스 라우터 및 Cisco 2800, 3800 시리즈 통합 서비스 라우터용 VPN AIM(향상된 통합 모듈)은 시스코 통합 서비스 라우터 플랫폼을 가상 사설망(VPN)에 맞게 IPSec(IP 보안)과 SSL(Secure Sockets Layer) 웹/VPN 배포를 최적화합니다.


그림 1. "AIM-VPN/SSL" 모듈을 사용한 통합 서비스 라우터


시스코 통합 서비스 라우터는 사이트간, 그리고 원격-액세스 연결을 위한 업계 최고의 VPN을 포함하여 고급 보안 서비스를 제공합니다. DMVPN(Dynamic Multipoint VPN)과 같은 강력한 IPsec VPN을 간단하게 배치하거나 또는 Cisco IOS® SSL VPN 성능을 최적화하기 위해서 Cisco VPN 및 SSL AIM은 Cisco 1841, Cisco 2800 및 3800 시리즈 라우터에 하드웨어 암호화 가속 기능을 제공합니다. 그림 1을 참조하십시오.


Cisco VPN 및 SSL AIM은 내장된 IPsec 암호화를 통해 IPsec VPN의 성능을 최대 40% 이상 향상시키고, SSL VPN 암호화의 성능을 최대 두 배까지 향상시킬 수 있습니다. Cisco VPN 및 SSL AIM은 하드웨어에서 다음 세 가지 기능을 모두 지원합니다. 첫 번째는 하드웨어에서 SSL을 사용하여 암호화하는 기능이고, 두 번째는 DES(Data Encryption Standard) 또는 AES(Advanced Encryption Standard) 중 한 가지 방법을 사용하여 하드웨어에서 VPN IPsec으로 암호화하는 기능입니다. 마지막 세 번째는 하드웨어에서 IPPCP(IP Payload Compression Protocol)를 사용하여 암호화하는 기능입니다. Cisco IPsec SSL VPN AIM을 사용하는 시스코 통합 서비스 라우터는 사무실과 모바일 사용자, 그리고 파트너 익스트라넷을 원격으로 연결해서 사용하는 중소 규모의 회사(SMB)나 엔터프라이즈 지사 사무실에서 사용하기에 이상적인 제품입니다. 시스코 통합 서비스 라우터는 하나의 장치 솔루션에 IPsec 및 SSL VPN을 함께 배치할 수 있을 만큼 배치 유연성이 우수합니다. 따라서, 여러 장치와 관리 시스템을 사용해야 하는 다른 제공업체의 제품과는 달리 총 소유 비용을 줄일 수 있습니다. Cisco IPsec 및 SSL VPN AIM은 서비스 제공업체에서 제로 터치 기능을 사용하여 쉽게 배치할 수 있고, 보안 서비스를 확장하고 관리할 수 있도록 설계되었습니다.


Cisco IPsec 및 SSL VPN AIM과 Cisco IOS Advanced Security 기능과 함께 시스코 통합 서비스 라우터를 사용하면 라우팅, 방화벽, 침입 방지, VPN 등의 기능을 통합한 풍부한 패키지와 시스코 자가 방어 네트워크(Cisco Self-Defending Network)의 필수 구성요소를 제공받을 수 있습니다.


표 1은 각 플랫폼에서 지원되는 VPN 모듈 하드웨어와 기능을 나타냅니다. 표 2에서는 Cisco IPsec 및 SSL VPN AIM에서 지원되는 기능을 설명합니다. 표 3에서는 Cisco IPsec 및 SSL VPN AIM 기능의 이점을 설명합니다.


표 1. 각 플랫폼에서 지원되는 모듈과 기능

모듈 부품 번호 Cisco 1841 Cisco 2801, 2811, 2821, 2851 Cisco 3725 Cisco 3825 Cisco 3745 Cisco 3845 AES 및 3DES(3중 데이터 암호화 표준) IPPCP WebVPN SSL 암호화 하드웨어에서의 IPv6 암호화 방식
AIM-VPN/SSL-1 X X X X X
AIM-VPN/SSL-3 X X X X X X X X
AIM-VPN/SSL-2 X X X X X

표 2. Cisco IPsec 및 SSL VPN AIM의 지원 기능

주요 기능 설명
물리적 Cisco IPsec 및 SSL VPN AIM은 시스코 통합 서비스 라우터에 열려 있는 AIM 슬롯에 적합합니다.
플랫폼 지원 Cisco IPsec 및 SSL VPN AIM은 Cisco 1841과 Cisco 2800, 3700 및 3800 시리즈를 지원합니다.
하드웨어 요구사항 Cisco 1841과 Cisco 2800, 3700 및 3800 시리즈의 경우 AIM 슬롯이 필요합니다.
IPSec 암호화 지원 모든 모듈은 IPSec, DES 및 3DES, 인증(RSA 및 Diffie Hellman), 데이터 무결성[(SHA-1(Secure Hash Algorithm 1) 및 MD5(Message Digest Algorithm 5)], 그리고 DES, 3DES 및 AES 키 크기(AES128, AES192, AES256)를 지원합니다.
하드웨어 SSL 암호화 지원 Cisco IPsec 및 SSL VPN AIM은 Cisco 1841과 Cisco 2800, 3700, 3800 시리즈에서 SSL VPN 암호화를 지원합니다.
IPSec 하드웨어 기반 압축 Cisco IPsec 및 SSL VPN AIM은 레이어 3 IPPCP 압축을 사용합니다.
소프트웨어 필요조건 Cisco IPsec 및 SSL VPN AIM은 어드밴스드 보안, 어드밴스드 IP 또는 어드밴스드 엔터프라이즈 기능 세트와 함께 Cisco IOS Software를 사용합니다.
라우터당 암호화 모듈 수 Cisco IPsec 및 SSL VPN AIM은 라우터당 암호화 모듈을 사용합니다.
최소 권장 Cisco IOS Software 버전 Cisco IPsec 및 SSL VPN AIM은 Cisco IOS Software Version 12.4(9)T 이상이 필요합니다.
IPsec 암호화 터널 수 Cisco IPsec 및 SSL VPN AIM은 Cisco 1841에서 최대 800개의 터널과 Cisco 2800 시리즈에서 최대 1500개의 터널, Cisco 3800 시리즈에서 최대 3800개의 터널을 지원합니다. 최대 터널 확장성 테스트는 최대 수만 결정하는 테스트로, 데이터 터널 통과 없이 수행됩니다. 사이트 간 설계를 위해서 귀사를 담당하고 있는 시스코 팀이나 시스코 공인 리셀러에게 문의하시는 것이 좋습니다. 또 다음 사이트에서 Cisco DMVPN Design Guide를 검토하십시오.
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008075ea98.pdf
VPN 및 SSL AIM을 사용한 Cisco IOS WebVPN SSL VPN 최대 사용자 수 Cisco IPsec 및 SSL VPN AIM은 Cisco IOS SSL VPN을 지원합니다. Cisco 1841 및 2801에서는 50의 사용자를 지원하고, Cisco 2811 및 2821에서는 100명의 사용자를, Cisco 2851에서는 150명의 사용자를, Cisco 3725 및 3745에서는 150명의 사용자를, Cisco 3825 및 3845에서는 200명의 사용자를 지원합니다. Cisco IOS WebVPN SSL VPN을 사용하려면 사용자 라이센스를 구입해야 합니다. 지원되는 모든 플랫폼에는 2명의 사용자의 데모 라이센스가 추가 비용 없이 포함되어 있습니다.
표준 지원 Cisco IPsec 및 SSL VPN AIM은 IPSec Internet Key Exchange(IKE) - RFC 2401~2410, 2411, 2451을 지원합니다.

표 3. Cisco IPsec 및 SSL VPN AIM의 기능과 이점

주요 기능 이점
메인 프로세서로부터 높은 오버헤드 IPSec 프로세싱 라우팅, 방화벽 및 음성과 같은 다른 서비스에 대한 중요한 프로세싱 리소스를 예약합니다.
IPSec MIB Cisco IPSec 구성 모니터링이 가능하며, 다양한 VPN 관리 솔루션과 통합할 수 있습니다.
디지털 인증서를 사용하여 자동 인증을 용이하게 하기 위한 인증서 지원 여러 사이트간 보안 연결이 필요한 대용량 네트워크에 대해 암호화 사용을 확장합니다.
기존 Cisco 1841과 Cisco 2800, 3700, 3800 시리즈 라우터로 VPN 모듈 통합을 용이하게 하는 기능 다중 장치 솔루션과 비교했을 때 시스템 비용, 관리 복잡성 및 배포 노력을 현저하게 줄여줍니다.
IPSec을 통한 기밀성, 데이터 무결성 및 데이터 기원 인증 공용 스위치로 연결된 네트워크와 WAN용 인트라넷의 보안 사용을 허용합니다.
Cisco IOS SSL VPN SSL VPN을 사용하여 인트라넷이 가능한 모든 위치로 안전하고 확실하게 네트워크를 확장할 수 있습니다. Cisco IOS SSL VPN은 HTML 기반 인트라넷 콘텐트, 전자 메일, 네트워크 파일 공유 및 Citrix 등과 같은 애플리케이션을 클라이언트 없이 액세스할 수 있도록 지원할 뿐만 아니라, Cisco SSL VPN Client를 지원하여 가상의 모든 애플리케이션에서 전체 네트워크를 원격으로 액세스할 수 있습니다.
압축 Cisco IPsec 및 SSL VPN AIM은 IPSec Layer 3 IPPCP에 대해 하드웨어 지원을 제공하고 암호화하기 전에 패킷을 압축할 수 있습니다. 이를 통해 WAN 링크에 대해 더 많은 처리량이 허용됩니다.


Cisco IPsec 및 SSL VPN AIM 성능


IPSec VPN


• Cisco 1841 시리즈 모듈(AIM-VPN/SSL-1)은 Cisco 1841에서 25~95Mbps의 하드웨어 기반 IPSec 암호화 서비스를 제공할 수 있습니다(IPSec Internet mix [IMIX] 및 1400바이트 패킷) 1

• Cisco 2800 시리즈 모듈(AIM-VPN/SSL-2)은 Cisco 2801에서 30~90Mbps, Cisco 2811에서 35~100Mbps, Cisco 2821에서 90~125Mbps, Cisco 2851에서 100~150Mbps의 하드웨어 기반 IPSec 암호화 서비스를 제공할 수 있습니다.(IPSec IMIX 및 1400바이트 패킷) 1

• Cisco 3800 시리즈 모듈(AIM-VPN/SSL-3)은 Cisco 3825에서 160~185Mbps, Cisco 3845에서 190~210Mbps의 하드웨어 기반 IPSec 암호화 서비스를 제공할 수 있습니다.(IPSec IMIX 및 1400바이트 패킷) 1



SSL VPN


• Cisco 1841 시리즈 모듈(AIM-VPN/SSL-1)은 최대 50명의 사용자를 가진 5Mbps의 하드웨어 기반 SSL 기반 VPN 암호화를 제공할 수 있습니다. 1

• Cisco 2800 시리즈 모듈(AIM-VPN/SSL-2)은 Cisco 2801에서 최대 50명의 사용자와 함께 5Mbps, Cisco 2811에서 최대 75명의 사용자와 함께 5Mbps, Cisco 2821에서 최대 100명의 사용자와 함께 10Mbps, Cisco 2851에서 최대 150명의 사용자와 함께 14Mbps의 하드웨어 기반 SSL VPN 암호화 서비스를 제공할 수 있습니다. 2

• Cisco 3800 시리즈 모듈(AIM-VPN/SSL-3)은 Cisco 3825에서 최대 175명의 사용자와 함께 20Mbps, Cisco 3845 라우터에서 최대 200명의 사용자와 함께 26Mbps의 하드웨어 기반 SSL VPN 암호화 서비스를 제공할 수 있습니다. 2



주요 기능


SSL VPN


• Cisco IPsec 및 SSL VPN AIM은 SSL 암호화 프로세싱을 오프로드하여 SSL VPN 성능을 향상시킵니다.

• Cisco IOS SSL VPN은 통합 데이터, 음성 및 무선 플랫폼에서 업계 최고의 보안 기능과 라우팅 기능을 통합하는 SSL VPN 원격 액세스 연결을 제공하는 최초의 라우터 기반 솔루션입니다.

• SSL VPN은 최종 사용자에게 확실한 보안을 제공하며 IT 관리가 용이한 강력한 솔루션입니다. 웹 브라우저만으로도 가정용 컴퓨터, 인터넷 키오스크 및 무선 핫스팟과 같은 모든 인터넷 지원 위치로 기업의 보안 엔터프라이즈 네트워크를 확장할 수 있습니다. 이에 따라 직원 생산성을 향상시키고 회사 데이터를 보호하면서 파트너와 컨설턴트에게 네트워크 액세스를 허용할 수 있습니다.

• Cisco IOS SSL VPN은 클라이언트 없는 액세스와 전체 네트워크 액세스 SSL VPN 기능을 모두 지원합니다.


Cisco IOS SSL VPN에 대해 더 자세한 알아보려면 http://www.cisco.com/go/iossslvpn을 참조하십시오.



IPSec VPN

Cisco Systems®는 IPSec 및 관련 프로토콜(RFC 2401~2410)을 설명하는 RFC 전체 세트를 완벽하게 지원합니다. 특히 시스코는 다음과 같은 기능을 지원합니다.

• DES, 3DES 및 AES는 DES, IPSec 및 IKE를 대체하기 위해 미국 NIST(National Institute of Standard and Technology)에 의해 연방 정보처리 표준(FIPS: Federal Information Processing Standard)으로 지정되었습니다. AES는 키 범위는 가변적입니다. AES 알고리즘은 128비트 키(기본값), 192비트 키 또는 256비트 키를 지정할 수 있습니다. AES에 대해 더 자세히 알아보려면 http://csrc.nist.gov/encryption/aes/를 참조하십시오.

• IPSec : 이 프로토콜은 암호화 기술을 사용하여 사설 네트워크에 접속 중인 참석자(peer)들 간에 데이터의 기밀성, 무결성 및 인증을 제공합니다. 시스코는 완벽한 ESP(보안 페이로드 캡슐화)와 인증 헤더 지원을 제공합니다.

• IKE: ISAKMP(인터넷 보안 연결 및 키 관리 프로토콜) 또는 Oakley를 사용하여 보안 연결 관리를 제공합니다. IKE는 IPSec 트랜잭션 내 각 참석자(peer)를 인증하고, 보안 정책을 협상하고, 세션 키 교환을 처리합니다.

• 인증서 관리: 시스코는 장치 인증을 위한 X509.V3 인증서 시스템과 인증 기관과의 통신 프로토콜인 SCEP(단순 인증서 검증 프로토콜)를 완벽하게 지원합니다. Verisign, Entrust Technologies, Microsoft 등 여러 공급업체에서 Cisco SCEP를 지원하기 때문에 이들의 제품을 시스코 장치에서 사용할 수 있습니다.

• RSA 서명과 Diffie-Hellman-RSA 및 Diffie-Hellman은 IKE 보안 연결을 인증하기 위해서 IPSec 터널을 설정할 때마다 사용됩니다. Diffie-Hellman은 사용할 IPSec 정책 협상을 포함하여 IKE 보안 연결 간에 데이터를 보호하기 위해 공유 비밀 암호화 키를 가져오는 데 사용됩니다.

• 향상된 보안 하드웨어 기반 암호화 방식은 향상된 보호 키를 포함하여 소프트웨어 기반 솔루션을 통해 여러 보안 이점을 제공합니다.


Cisco IOS IPSec VPN에 대해 더 자세히 알아보려면 다음 웹사이트를 참조하십시오. http://www.cisco.com/en/US/customer/products/ps6635/products_ios_protocol_group_home.html



인증


시스코는 전 세계 고객을 위해 까다로운 제품 인증 및 평가 프로그램을 유지 관리하는 데 전념하고 있습니다. 인증과 평가가 고객들에게 중요한 사항임을 잘 알고 있는 시스코는 인증 및 평가된 제품을 시장에 공급하는 데 있어 지속적으로 선두 자리를 지킬 것입니다. 또한, 시스코는 국제 보안 표준 기관들과의 지속적인 협력을 통해 인증 및 평가된 제품의 미래 위상을 확립하도록 지원하고, 인증 및 평가 과정을 가속화하기 위해 노력할 것입니다. 인증 및 평가는 시스코 제품 개발 주기의 시작 단계부터 고려되며, 시스코는 고객의 요구에 맞는 인증 및 평가 제품을 제공하기 위해 지속적으로 연구개발에 총력을 다하고 있습니다. Cisco는 ICSA, Common Criteria(EAL) 및 FIPS 140-2 인증을 추구합니다(그림 2 참조).


그림 2.


Cisco VPN 모듈은 FIPS 140-2 Level 2 보안을 준수하도록 설계되었습니다. 현재 특정 모델만 FIPS 140-2 인증을 가지고 있습니다. FIPS 인증을 획득한 시스코 제품의 현재 상태에 대한 인증 유형으로 제품 인증을 확인하려면 다음 사이트를 참조하십시오.


http://www.cisco.com/en/US/customer/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit0900aecd8009a16f.html

http://csrc.nist.gov/cryptval/



ICSA IPSec


ICSA(Internet Computer Security Association)는 다양한 유형의 보안 제품에 대해 ICSA IPSec와 ICSA 방화벽 인증을 제공하는 보안 인증 사설 기관입니다. 시스코는 ICSA의 IPSec와 방화벽 인증 프로그램에 참여하고 있습니다. ICSA 인증을 획득한 시스코 제품의 현재 상태에 대한 인증 유형으로 제품 인증을 확인하려면 다음 사이트를 참조하십시오.
http://www.cisco.com/en/US/customer/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit0900aecd8009a16f.html



Common Criteria


Common Criteria는 IT 보안을 평가하는 국제적 표준입니다. 국가별로 서로 다른 다양한 보안 평가 프로세스를 국제 단일 표준으로 대체하기 위해 국가별 콘소시엄에서 개발한 표준입니다. 현재 14개국에서 공식적으로 이 Common Criteria를 인정하고 있습니다. Cisco ISR 라우터의 여러 버전에 대해 ITSEC(Information Technology Security Evaluation Criteria)와 Common Criteria의 평가가 현재 진행 중입니다. FIPS 인증을 획득한 시스코 제품의 현재 상태에 대한 인증 유형으로 제품 인증을 확인하려면 다음 사이트를 참조하십시오.


http://www.cisco.com/en/US/customer/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit0900aecd8009a16f.html

http://www.commoncriteriaportal.org/



Cisco 1841와 Cisco 2800, 3700, 3800 시리즈 VPN 모듈 소프트웨어


VPN 모듈이 설치되어 있으면 Cisco IOS Software의 모든 기능 세트가 라우터에서 작동되지만, 해당 모듈은 IPSec 또는 SSL VPN 기능 세트에 대해서만 사용됩니다.

VPN 모듈에 대한 수출 규약


VPN 모듈을 위한 DES, 3DES 및 AES 소프트웨어는 암호화 제품에 대해 미연방 수출 규약의 통제를 받습니다. 미국의 규정에서는 DES와 3DES 소프트웨어를 수령하는 사람의 이름과 주소를 기록하도록 요구하고 있습니다. DES 및 3DES 소프트웨어의 시스코 주문 프로세스에 이 요구사항이 적용됩니다.

제품 사양


표 4. 제품 사양

주요 기능 사양
부품 번호 및 설명

• AIM-VPN/SSL-1: Cisco 1841 DES, 3DES, AES, SSL 및 Layer 3 (IPPCP) 압축 VPN 암호화

• AIM-VPN/SSL-2: Cisco 2800 시리즈 DES, 3DES, AES, SSL 및 Layer 3 (IPPCP) 압축 VPN 암호화

• AIM-VPN/SSL-3: Cisco 3800 시리즈 DES, 3DES, AES, SSL 및 Layer 3 (IPPCP) 압축 VPN 암호화

IPSec RFC 지원

• IPSec(RFC 2401~2410)

• DES 및 3DES를 사용하는 IPSec ESP(RFC 2406)

• MD5 또는 SHA를 사용하는 IPSec 인증 헤더(RFC 2403~2404)

• IKE(RFC 2407~2409)

• GDOI(RFC 3547 - Group Domain of Interpretation)

환경 조건

• 작동 온도: 화씨 32~104도(섭씨 0~40도)

• 보관 온도 화씨 -4~149도(섭씨 -20~65도)

• 상대 습도: 작동 - 10~85% 비응축, 보관 - 5~95% 비응축



크기 및 무게


표 5는 플랫폼별 크기와 무게를 나타냅니다.


표 5. 크기 및 무게

모듈 AIM-VPN/SLL-1 AIM-VPN/SSL-2 AIM-VPN/SSL-3
너비 5.25인치(13.3cm) 5.25인치(13.3cm) 5.25인치(13.3cm)
높이 0.95인치(2.41cm) 0.95인치(2.41cm) 0.95인치(2.41cm)
깊이 3.25인치(8.26cm) 3.25인치(8.26cm) 3.25인치(8.26cm)
무게 0.60파운드(0.27kg) 0.60파운드(0.27kg) 0.60파운드(0.27kg)


규정 준수, 안전, EMC, 통신 및 네트워크 승인


Cisco 1800(모듈형), 2800, 3700 또는 3800 시리즈 라우터를 설치할 경우, VPN 모듈은 표준(규정 준수, 안전, EMC, 통신 또는 네트워크 인증)을 변경하지 않습니다. Cisco 1800(모듈형), 2800, 3700 및 3800 시리즈 라우터에 대한 데이터 시트를 참조하십시오.



소프트웨어 다운로드 방법


Cisco IOS Software를 다운로드 하려면 시스코 소프트웨어 센터를 방문하십시오.



서비스 및 지원


시스코은 고객의 성공을 앞당기는 다양한 서비스 프로그램을 제공합니다. 이러한 혁신적인 서비스 프로그램은 수준 높은 인력, 프로세스, 고객지원 툴 및 파트너의 기술력이 어우러진 것으로, 그 결과는 높은 고객 만족도로 이어집니다. 시스코 서비스는 고객의 네트워크 투자 보호, 네트워크 운영 최적화, 새로운 애플리케이션에 대비한 네트워크 준비를 통해 지능형 네트워크와 비즈니스 성능을 확장하도록 돕습니다. 시스코 서비스에 대한 자세한 내용은 시스코 기술 지원 서비스시스코 어드벤스드 서비스를 참조하십시오.



추가 정보


Cisco VPN 모듈에 대해 더 자세히 알아보려면 http://www.cisco.com 웹 사이트를 참조하거나 해당 지역 시스코 담당자에게 문의하십시오.


1 IPSec 번호는 Spirent IPSec IMIX 정의와 1400바이트 패킷 크기에 기반한 최대 값입니다. 모든 테스트는 단일 터널로 수행됩니다. 배치 옵션과 확장에 대해 더 자세히 알아보려면 시스코 계정 팀으로 문의하시고, Cisco VPN 솔루션 안내서를 검토해 보시기 바랍니다. IPsec 사용자의 경우, 확장에 대한 특정 정보를 알아보려면 다음 사이트에서 시스코 솔루션 설계 안내서를 참조하십시오. http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008075ea98.pdfhttp://www.cisco.com/en/US/customer/netsol/ns656/networking_solutions_design_guidances_list.html


2 배치 옵션과 확장에 대해 더 자세히 알아보려면 시스코 계정 팀으로 문의하시고, Cisco Web VPN 솔루션 안내서를 검토해 보시기 바랍니다. IOS SSLVPN 성능은 설치된 클라이언트에 따라 다릅니다. SSLVPN 클라이언트 사용자는 다소 낮은 성능을 보이는 SSLVPN 클라이언트 없는 설치보다 전체적으로 더 높아진 성능을 체험할 수 있을 것입니다.




<업데이트: 2008년 8월 8일>



Cisco에 문의하세요