USB eTOKEN和USB闪存特性思科®集成多业务路由器能够以线速安全地提供并发数据、语音和视频服务(图1)。路由器的通用串行总线(USB)端口支持重要的安全和存储功能,包括执行安全设备验证,存储可拆卸的证书以建立安全的VPN连接,安全分发配置文件,以及为文件和配置提供大量闪存存储等。 图1 Cisco 800、1800、2800和3800系列集成多业务路由器
新一代集成多业务路由器的体系结构得到了多方面的改进,包括集成了USB端口。为充分利用USB端口的功能,还新增了两个特性:USB eToken支持和USB闪存支持。 USB是一种低成本的双向动态连接串行接口。Cisco 1841、2800系列和3800系列上支持USB 1.1,Cisco 871、1811和1812上支持USB 2.0。配有内置USB端口的所有路由器上都支持eToken和USB闪存新特性,包括Cisco 871、1811、1812和1841路由器,以及Cisco 2800系列和3800系列集成多业务路由器。 USB eToken和闪存特性能够为思科路由器提供内置USB端口,以便支持eToken和USB闪速存储器。USB eToken特性提供了安全配置分发,使用户能够保存供部署用的VPN证书。eToken由Aladdin Knowledge Systems供应,如果想订购,请访问:http://www.aladdin.com/etoken/cisco。利用USB闪存特性,用户能够通过USB闪速存储器存储镜像和配置。USB闪速存储器可以从思科系统公司订购(表1)。 USB eToken特性USB eToken特性支持设备验证,并且能够简化思科路由器的部署和安全配置。它使用USB中的智能卡技术执行验证和配置过程。令牌能提供对路由器的安全访问 -- 只有拥有了令牌和PIN,才能访问配置、密钥和证书。另外,令牌还可以安全地提供路由器配置,因为配置可以在令牌上加密。 图2 配有两个USB端口的Cisco 2851集成多业务路由器,Aladdin Knowledge System生产的eToken USB eToken可用于存储文件。需要安全保存且适合使用eToken的任何文件都可以存储,包括X.509数字证书和配置文件。这些文件可以利用Cisco IOS Software CLI命令从路由器传输到eToken,也可以使用Aladdin Knowledge Systems提供的称为令牌管理系统(TMS)的GUI软件应用。如果想详细了解TMS,或者想订购eTokens,请访问:http://www.aladdin.com/etoken/cisco。 USB闪存特性USB闪存特性提供了可选的备用存储功能。软件镜像、配置或其它文件可以复制到思科USB闪速存储器,也可以从USB闪速存储器复制,而且可靠性与使用Compact Flash保存和恢复文件的可靠性相当。思科USB闪速存储器包括64MB、128MB和256MB几种规格。 部署应用这些特性共有三种主要应用驱动程序 -- 可撤销证书、闪存存储和无接触或低接触配置应用。 可拆卸证书的应用这种应用对VPN部署情况非常有用,它使用智能卡令牌存储RSA密钥对、一份或多份根证书以及VPN部署配置。插入到路由器中之后,路由器将从令牌上保存的配置启动(或者通过命令行界面[CLI]从另一配置启动)。令牌中的智能卡将使用RSA密钥对和根证书对一个或多个IP安全(IPSec)通道进行验证。令牌可能包含多份根证书,因为一台路由器可能会建立与多个VPN的多条通道。证书数量因平台而异(与路由器的角色有关)。另外,令牌密钥还可以用于向路由器提供配置,因为配置可以在令牌密钥上加密。 由于路由器等远程设备一般都部署在安全性较低的地方,因而特别需要加强安全性。利用可撤销证书特性,可以通过两级验证提高远程位置的安全性。只有满足了以下两个条件,才能在远程位置部署路由器:
将VPN证书保存在安全eToken上之后,如果需要重新部署路由器,或者在租赁期满后或需返回维修时,可以方便地移去证书。 闪存存储应用客户可以在USB令牌闪存设备上部署配置和Cisco IOS? ®Software镜像。这些USB闪存驱动器可用于存储Cisco IOS镜像、配置或其它类型的文件。虽然Compact Flash设备也能实现这些功能,但闪存存储特性至少为客户提供了另一种选择。与Compact Flash相比,许多客户更愿意使用USB媒体。 USB闪存存储有利于执行Cisco IOS Software分布。Cisco IOS镜像可以通过PC直接下载到PC的USB闪存设备,然后再转移到路由器上。 无接触或低接触部署应用利用这些USB特性,企业客户或电信运营商在供货和部署之前不需要物理加载各种配置就能实现路由器的网络部署。另外,路由器不需要作任何配置就可以直接从工厂发给最终用户。两种USB特性都可以将引导配置加载到eToken或USB闪存中。在引导配置的帮助下远程站点建立连接后,可以与Cisco CNS 2100系列智能引擎或普通文件传输协议(TFTP)服务器联络,下载完整配置。这种配置的另一个优点是,不需要掌握高深的技术知识就可以在远程站点执行各种任务。 各种特性的优点eToken USB特性
USB闪存特性
Cisco IOS Software 12.3(14)T支持USB eToken和USB闪存特性。USB eToken特性需要高级安全、高级IP服务或高级企业服务Cisco IOS特性集。所有Cisco IOS特性集都支持USB闪存特性。 如果想详细了解USB eToken和USB闪存特性,请访问:http://www.cisco.com/go/USB。 |