Cisco 2600 및 3600 Series용 모듈형 멀티서비스 라우터
가상사설망 모듈

Cisco 2600 및 3600 Series 모듈형 멀티서비스 라우터(MMR) 가상사설망(VPN) 모듈은 VPN용 플랫폼을 최적화합니다. Cisco 2600 및 3600 Series VPN 모듈은 라우터 CPU에서 암호화 처리 부하를 제거하기 때문에 소프트웨어만을 사용한 암호화보다 10배 뛰어난 성능을 제공합니다. 이 모듈은 기업의 지사 사무실들이 원거리 사무실 간에 연결하거나 이동 중인 사용자, 협력업체의 익스트라넷, 또는 서비스 공급업체의 서비스가 관리된 CPE(Customer Premises Equipment) 간에 연결하는 데 이상적이며, 라우팅, 방화벽, 시스템 침입 감지 및 VPN 기능이 통합된 패키지를 제공합니다. Cisco VPN 솔루션의 중요한 구성요소인 Cisco 2600 및 3600 Series VPN 모듈은 IPSec(업계 표준 암호화), 애플리케이션 인식 Qos(Quality of Service), 대역폭 관리 및 강력한 보안 옵션을 제공합니다.


그림 1: Cisco 2600 및 3600 Series VPN 모듈







다음 네 가지 형식의 VPN 모듈 하드웨어를 사용할 수 있습니다.
  • Cisco 2600 AIM-VPN/BP(기본 성능)—이 AIM(고급 인터페이스 모듈)은 현재 모든 Cisco 2600 모델(Cisco 2650 포함)에 추가하여, 최대 10Mbps의 3DES(Triple DES) 성능(최대 1400바이트의 패킷 크기 기준)으로 하드웨어 기반 암호화 서비스를 제공합니다.
  • Cisco 2600 AIM-VPN/BP(확장된 성능)—이 AIM VPN 모듈은 현재 모든 Cisco 2600에 추가할 수 있지만, Cisco 2650 고성능 라우터를 이용하기 위해 특별히 고안된 것입니다. 이 모델은 Cisco 2650에서 최대 14Mbps 3DES(Triple DES) 성능(최대 1400바이트의 패킷 크기 기준)으로 하드웨어 기반 암호화 서비스를 제공합니다. 이 모듈은 12.2(2)T 최소 IOS를 필요로 합니다.
  • Cisco 3620 및 3640 NM(네트워크 모듈)-VPN/중급 성능(MP)—이 NM은 현재 모든 Cisco 3620 및 3640 플랫폼에 지원되며, 최대 18Mbps 3DES 성능(최대 1400바이트의 패킷 크기 기준)으로 하드웨어 기반 암호화 서비스를 제공합니다.
  • Cisco 3660 AIM-VPN/HP(고급 성능)—이 AIM은 현재 모든 Cisco 3660 모델에 추가하여 최대 40Mbps 3DES 성능(최대 1400바이트의 패킷 크기 기준)으로 하드웨어 기반 암호화 서비스를 제공합니다.
Cisco 2600 및 3600 Series VPN 모듈은 암호화 처리 뿐만 아니라 해싱, 키 교환, 보안 연결 저장과 같은 여러 가지 IPSec 관련 작업을 처리하므로, 주 프로세서 및 메모리가 다른 라우터, 음성, 방화벽 및 시스템 침입 감지 기능을 수행할 필요가 없습니다.

표 1:
특성 설명
물리적 특징 네트워크 모듈 및 AIM 폼 팩터
플랫폼 지원 Cisco 2600 및 3600 Series
하드웨어 필수 사항 Cisco 2600 및 3660에 대해 사용가능한 AIM 슬롯, Cisco 3620 및 3640에 대해 사용 가능한 NM 슬롯
소프트웨어 필수사항 IPSec 기능이 있는 Cisco IOS® 소프트웨어
처리 속도 Cisco 2600: 최대 10Mbps, Cisco 2650: 최대 14Mbps, Cisco 3620 및 3640: 최대 18Mbps, Cisco 3660: 최대 40Mbps (1400바이트 패킷)
라우터 당 암호화 모듈 수 1
필요한 최소 Cisco IOS 버전 12.1(5)T 이후 버전 (AIM-EP의 경우 12.2(2)T)
지원되는 암호화 IPSec DES 및 3DES, 인증: RSA and Diffie Hellman, 데이터 무결성: SHA-1 and MD5
암호화된 터널의 최대 수 Cisco 2600: 최대 300개, Cisco 2650(AIM-VPN/ EP를 사용): 최대 800개, Cisco 3620 및 3640: 최대 800개, Cisco 3660: 최대 1,800개
지원되는 표준 IPSec/IKE: RFCs 2401-2410, 2411, 2451

표 2:
특징 장점
하드웨어 기반 DES 및 3DES 암호화 소프트웨어 암호화 방법의 전체 암호화 성능을 증가시킵니다.
주 프로세서의 높은 오버헤드 IPSec 처리 라우팅, 방화벽 및 음성과 같은 기타 서비스를 위해 중요한 처리 자원을 보존합니다.
디지털 인증서를 사용하는 자동 인증 시스템 지원 다중 사이트 간에 안전한 연결이 필요한 대규모 네트워크에 암호화를 사용합니다.
신종 및 기존 Cisco 2600 및 3600 Series 라우터에 쉽게 통합된 VPN 모듈 시스템 비용, 관리의 복잡성 및 다중 상자 솔루션 상의 설치 노력을 현저하게 줄입니다.
관리 중간 규모에서 대규모에 이르는 VPN을 설치하기 위한 포괄적인 관리 툴인 Cisco Secure Policy Manager를 사용하여 IPSec 터널과 방화벽 규칙을 모두 구성할 수 있습니다. (VPN Solution Center 2.0은 SP MPLS/IPSec 관리 툴입니다.)
IPSec에서 기밀성, 데이터 무결성 및 데이터 기원 인증 제공 공용 변환 네트워크 및 WAN용 인터넷을 안전하게 사용할 수 있습니다.


기능

Cisco는 IPSec 및 관련 프로토콜을 설명하는 RFCs(Request For Comments)의 전체 세트(RFCs 2401-2410)를 완벽하게 지원합니다. 특히 다음과 같은 기능을 지원합니다.
  • IPSec—암호화 기술을 사용하여 데이터 기밀성, 무결성 및 사설 네트워크에 참여하는 피어 간 인증을 제공합니다. Cisco는 완벽한 ESP(Encapsulating Security Payload) 및 인증 헤더(AH) 지원 기능을 제공합니다.
  • IKE—ISAKMP(Internet Security Association Key Management Protocol)/Oakley에 기반한 것으로, 보안 연관 관리 기능을 제공합니다. IKE는 IPSec 트랜잭션에 참여하는 각 피어를 인증하고 보안 정책을 수행하며 세션 키 교환을 처리합니다.
  • 인증 관리—Cisco는 장치 인증용 X509.V3 인증 시스템과 인증 기관들 간의 통신용 프로토콜인 SCEP(Simple Certificate Enrollment Protocol)를 완벽하게 지원합니다. Verisign, Entrust Technologies 및 Microsoft를 포함하여 여러 공급업체는 Cisco SCEP를 지원하고 Cisco 장치와 상호 운영할 수 있습니다.
  • DES 및 3DES—DES 또는 3DES 암호화는 IPSec 터널을 통과해야 하는 모든 패킷에 필요합니다. Cisco 2600 및 3600 Series VPN 모듈은 주 프로세서가 다른 작업을 수행하지 않는 동안에 DES 또는 3DES를 사용하여 데이터를 암호화합니다.
  • RSA 서명 및 Diffie-Hellman—IPSec 터널을 구축하여 IKE SA를 인증할 때마다 사용합니다. 사용할 IPSec 정책의 협상을 포함하여 IKE SA의 데이터 보호용 공유 비밀 암호화 키를 파생하기 위하여 Diffie-Hellman을 사용합니다.
  • 확장된 보안—하드웨어 기반 암호화 기법은 소프트웨어 기반 솔루션에 비해 강화된 키 보호 등 여러 가지 보안상의 장점을 제공합니다. Cisco 2600 및 3600 Series와 VPN 모듈은 FIPS 140-1 레벨 2 보안용으로 제출되었으며 현재까지 인증되지는 않았습니다. Cisco IOS IPSec 소프트웨어는 FIPS 140-1 레벨 2 인증을 획득했습니다.


IPSec VPN용 Cisco 관리 소프트웨어

기업 기반 VPN 네트워크용 관리 툴

Config Maker

Config Maker는 사용하기 위운 독립형 Windows GUI로서, 콘솔 포트에 직접 연결되어 있거나 텔넷을 통해 연결된 간단한 IPSec config 규칙을 수행할 수 있습니다. Cisco의 등록된 사용자는 Cisco 소프트웨어 센터(www.cisco.com)에서 Config Maker를 무료로 다운로드할 수 있습니다. Config Maker는 Cisco CLI 경험이 거의 없고, 3-10개의 장치를 갖춘 간단한 VPN을 설치하려는 사용자를 위해 고안되었습니다.

CSPM

CSPM(Cisco Secure Policy Manager)은 Windows NT 기반 소프트웨어 툴입니다. CSPM 버전 2.3이 CSPM의 최신 버전이고, 이 버전을 사용하여 중앙 위치에서 네트워크 보안 정책을 정의, 배포, 실행 및 감사할 수 있습니다. CSPM은 IPSec 기반 VPN와 같은 복잡한 네트워크 보안 요소를 능률적으로 관리할 수 있습니다. 또한 CSPM은 Cisco VPN 라우터 관리 외에도 Cisco PIX 방화벽 및 Cisco IDS(시스템 침입 감지 시스템)도 관리할 수 있습니다. CSPM은 기업 고객을 위해 Cisco IOS 방화벽 및 Cisco IOS IPSec VPN  설치를 현저하게 간단히 하여, 관리자가 하나의 중앙 툴에서 고급 보안 정책을 시각적으로 정의할 수 있습니다.

서비스 공급업체 VPN 네트워크용 관리 툴

VPN Solution Center 2.0

Cisco VPNSC(VPN Solutions Center) 릴리즈 2.0을 사용하는 서비스 공급업체는 툴 하나를 사용해 IPsec 및 MPLS 기반 IP VPN을 모두 관리할 수 있습니다. 또한 VPNSC는 서비스 공급업체가 VPN 서비스를 효과적으로 계획하고 공급, 운영 및 대금을 청구할 수 있는 서비스 관리 솔루션 스위트를 제공합니다. 서비스 공급업체는 WAN 스위치, 라우터, 방화벽, VPN 집중기 및 Cisco IOS 소프트웨어를 포함하는 VPN을 구축할 때, 네트워크 기반 구조 상에서 이러한 장치를 무리 없이 관리하고 고객에게는 SLA(Service-Level Agreement)를 제공해야 합니다. 또한 비즈니스 고객이 네트워크 서비스 및 애플리케이션에 대하여 개별적으로 액세스할 수 있도록 해야 합니다. 현재 VPNSC는 서비스 공급업체에게 비용 효과적인 통신 사업자 수준의 일급 VPN 서비스를 제공하여 많은 기업들이 원하고 있는 VPN 서비스 아웃소싱을 신속하게 수행할 수 있게 합니다. 포트폴리오는 소규모 사무실에서 본사에 이르는 모든 사이트의 플랫폼에서 강력한 IPSec VPN 서비스를 Cisco IOS 소프트웨어의 다른 모든 기능과 결합합니다. VPNSC 2.0은 Cisco 2600 Series 라우터를 MPLS CPE(Customer Premise Equipment)와 IPSec 장치 로 지원합니다. 서비스 공급업체는 이 툴을 사용하여 IPsec 및 MPLS 기반 IP VPN을 모두 관리할 수 있습니다. 또한 VPNSC 2.0은 Cisco 3600 Series 라우터를 MPLS CPE(Customer Premise Equipment)와 IPSec 장치로 지원합니다. 또한 Cisco 3640 및 3660은 VPNSC 2.0을 사용하는 Provider Edge PE 장치로 지원될 수 있습니다.

Cisco 2600 및 3600 Series VPN 모듈 소프트웨어

Cisco 2600 및 3600 Series VPN 모듈은 Cisco ISO 소프트웨어의 Cisco IOS 12.1(5)T 이후 릴리즈에서 지원됩니다. Cisco IOS IP 방화벽 및 IPSec 3DES 소프트웨어는 Cisco IOS 소프트웨어의 IPSec, 방화벽 및 기타 모든 기능을 포함하고 있고, 3DES 및 DES(56비트) 암호화를 모두 지원합니다. 반면 IPSec 56 버전 소프트웨어는 DES(56비트) 암호화를 지원합니다. 현재 12.2(2)T에 필요한 메모리는 표 3을 참조하십시오. VPN 모듈이 설치된 Cisco 2600 또는 3600 Series 라우터는 Cisco IOS 12.1(5)T 및 이후 버전 소프트웨어용으로 설정된 모든 기능을 실행할 수 있지만, VPN 모듈은 IPSec 기능 세트만으로도 이용할 수 있습니다. 예를 들어, 12.1(5)T용 Cisco 2600 및 3600 Series Cisco IOS IP 전용 소프트웨어는 VPN 모듈이 설치된 Cisco 2600 또는 3600 Series 라우터에서 실행되지만, IPSec에 대해서는 사용할 수 없으며 VPN 모듈의 기능을 이용하지 않습니다.

VPN 모듈에 대한 수출 규정

VPN 모듈용 DES 및 3DES 소프트웨어는 암호화 제품에 대한 미국 수출 규정의 규제를 받습니다. 모듈 자체는 규제받지 않으므로 DES 및 3DES 소프트웨어 수취인의 이름과 주소를 기록해야 합니다. DES 및 3DES 소프트웨어에 대한 Cisco의 주문 처리 방식은 이러한 요구 사항을 준수하고 있습니다. 자세한 내용은 http://www.cisco.com/wwl/export/crypto/을 참조하십시오.

표 3: 12.2(1)을 사용하는 TCisco 2600 및 3600 Series IPSec 소프트웨어 메모리 요구 사항
제품 이름 2600/3600/3660 이미지 이름 소프트웨어 이미지 필수 플래시 메모리 2600/3620/3640/3660 필수 DRAM 메모리 2600/3620/3640/3660 실행 위치
S26/36AL Enterprise Plus IPSec 56 (DES) C2600/3620/3640/3660-js56i-mz 16/32/32/32 64/64/96/96 RAM
S26/36AK2 Enterprise Plus IPSec 3DES C2600/3620/3640/3660-jk2s-mz 16/32/32/32 64/64/96/96 RAM
S26/36AHL Enterprise IP/FW/IDS Plus IPSec 56 C2600/3620/3640/3660-jo3s56i-mz 16/32/32/32 64/64/96/96 RAM
S26/36AHK2 Enterprise IP/FW/IDS Plus IPSec 3DES C2600/3620/3640/3660-jk2o3s-mz 16/32/32/32 64/64/96/96 RAM
S26/36AR1L Enterprise/SNASW PLUS IPSEC 56 C2600/3620/3640/3660-a3js56I-mz 16/32/32/32 64/64/96/96 RAM
S26/36AR1K2 Enterprise/SNASW PLUS IPSEC 3DES C2600/3620/3640/3660-a3jk2s-mz 16/32/32/32 64/64/96/96 RAM
S26/36CL IP Plus IPSec 56 (DES) C2600/3620/3640/3660-is56i-mz 16/16/16/32 64/64/64/64 RAM
S26/36CK2 IP PLUS IPSEC 3DES C2600/3620/3640/3660-ik2s-mz 16/16/16/32 64/64/64/64 RAM
S26/36CHL IP/FW/IDS Plus IPSec 56 DES C2600/3620/3640/3660-io3s56I-mz 16/16/16/32 64/64/64/64 RAM
S26/36CHK2 IP/FW/IDS Plus IPSec 3DES C2600/3620/3640/3660-ik2o3s-mz 16/16/16/32 64/64/64/64 RAM


사양

제품 번호 및 설명

  • 2600용 AIM-VPN/BP-DES/3DES VPN 암호화 AIM-기본 성능
  • 2600용 AIM-VPN/EP-DES/3DES VPN 암호화 AIM-확장된 성능
  • 3620/3640용 NM-VPN/MP-DES/3DES VPN 암호화 NM-중급 성능
  • 3660용 AIM-VPN/HP-DES/3DES VPN 암호화 AIM-고급 성능

표준 (Cisco IOS IPSec)

  • IPSec (RFCs 2401-2410)
  • DES/3DES(RFC 2406)를 사용하는 IPSec ESP
  • MD5 또는 SHA(RFCs 2403-2404)를 사용하는 IPSec 인증 헤더(AH)
  • 인터넷 키 교환(Internet Key Exchange) (RFCs 2407-2409)

환경 조건

  • 작동 온도: 32° ~ 104°F (0 ~ 40°C)
  • 비작동 온도: -4° ~ 149°F (-20° ~ 65°C)
  • 상대 습도: 10 ~ 85% 비응축 작동; 5 ~ 95% 비응축, 비작동 안전


치수 및 무게

모듈 AIM-VPN/BP AIM-VPN/EP NM-VPN/MP AIM-VPN/HP
5.25 in. (13.34cm) 5.25 in. (13.34cm) 7.10 in. (18.03cm) 5.25 in. (13.34cm)
높이 .95 in. (2.41cm) .95 in. (2.41cm) 1.65 in. (4.19cm) .95 in. (2.41cm)
깊이 3.25 in. (8.26cm) 3.25 in. (8.26cm) 7.20 in. (18.29cm) 3.25 in. (8.26cm)
무게 .60 lb. (.27kg) .60 lb. (.27kg) 1.1 lb. (.5kg) .6 lb. (.27kg)


규정 준수, 안전, EMC, Telecom, Network Homologation

Cisco 2600 및 3600 라우터에 설치했을 때 VPN 모듈은 라우터 자체의 표준(규정 준수, 안전, EMC, Telecom, Network Homologation)은 변경하지 않습니다. Cisco 2600 및 3600 라우터의 데이터 시트를 참조하십시오.
2007/05/04 12:02 2007/05/04 12:02

트랙백 주소 :: http://thinkit.or.kr/network/trackback/342

댓글을 달아 주세요