Cisco 1700, 2600, 3600, 3700 시리즈

VPN 보안 라우터 번들


개요

시스코 VPN 보안 라우터 번들은 Cisco 1700, 2600XM, 2691, 3600 및 3700 모듈형 멀티서비스 라우터 플랫폼에 기반을 두고 있습니다. 이 가상 사설 네트워크(VPN) 번들을 구입하면 각 컴포넌트를 따로 구입할 때보다 훨씬 저렴한 가격으로 필요한 모든 VPN 및 보안 컴포넌트가 포함된 시스코 라우터를 단일 제품 번호로 주문할 수 있습니다. 필요에 따라 VPN 번들에 옵션형 모듈을 추가할 수 있습니다. 모든 번들에는 선택한 라우터 플랫폼, VPN 하드웨어 카드, 추가 메모리, IPSec(IP Security) 3DES(Triple Digital Encryption Standard) 암호화를 실행하는 Cisco IOS® 소프트웨어, 침입 탐지 시스템(IDS)이 구성된 Cisco IOS Firewall이 포함되어 있습니다.

이러한 번들을 통해 보안 VPN, IDS, 방화벽과 같은 입증된 보안 기능을 구현할 수 있는 것은 물론, 고속으로 인터넷에 액세스하고 엑스트라넷이나 비무장 지대(DMZ)를 설치할 수 있습니다. VPN 번들은 인트라넷, 엑스트라넷 및 원격 액세스 VPN 구축도 지원합니다.

VPN 번들에는 원격 액세스를 위해 Cisco VPN Client 3.0이 포함되어 있습니다. 시스코 VPN 보안 라우터 번들은 사이트-투-사이트 VPN에도 적합한 제품입니다. VPN 번들은 라우팅, 방화벽, 전화 접속, 패킷 음성 게이트웨이 기능, 멀티서비스 VPN 애플리케이션을 위한 VPN 기능 등의 풍부한 기능으로 구성된 통합 패키지입니다. Cisco 1700, 2600, 3600 및 3700 시리즈와 VPN 모듈을 결합하면 중소 규모 및 대규모 사무실을 다른 원격 위치, 기업 본사, 본사 인트라넷 또는 협력사 엑스트라넷에 연결하기 위한 완벽한 IPSec VPN 솔루션이 됩니다.

VPN을 채택한 기업에서는 보안 엑스트라넷 통신과 같은 기능을 활용하는 것과 동시에 상당한 WAN 비용 절감, 글로벌 연결 기능 향상, 신뢰성 증가 등의 이점을 얻을 수 있습니다. 인터넷에 연결된 단일 WAN에서 원격으로 전화 접속, 인터넷, 인트라넷 및 엑스트라넷 액세스를 모두 통합할 수 있습니다. 번들 제품 번호의 전체 목록은 표 2를 참조하십시오.

VPN 보안 번들의 기능 및 이점

음성 및 비디오 지원 IPSec VPN


모든 시스코 VPN 보안 라우터 번들에는 음성 및 비디오를 지원하는 IPSec VPN이 구축되어 있습니다. 시스코는 통합된 음성, 비디오 및 데이터 트래픽을 보안 IPSec 네트워크를 통해 전송할 수 있는 VPN 인프라를 제공합니다. 시스코 VPN 플랫폼은 현재 출시된 대부분의 VPN 장치와 달리, 멀티서비스 IPSec VPN의 특징인 다양한 네트워크 토폴로지와 트래픽 유형을 수용하여 VPN 인프라가 현재 또는 앞으로 설치될 멀티서비스 애플리케이션에 장애가 되지 않도록 보장합니다.

시스코는 VPN 보안 라우터 번들을 사용하여 멀티서비스 VPN에 연관된 다양한 제품을 제공합니다. 시스코 음성 및 비디오 지원 IPSec VPN(V3PN) 솔루션의 네트워크 아키텍처는 Cisco IOS 소프트웨어, Cisco CallManager, IP 폰과 더불어 시스코 VPN 라우터를 이용합니다. 이 외에도 수렴형 네트워킹을 위한 Cisco AVVID(음성, 비디오 및 통합 데이터용 아키텍처) 및 VPN을 위한 SAFE Blueprint를 통해 이러한 제품에 대한 포괄적인 구현 모델을 제공합니다. 이 구현 모델은 엔드-투-엔드 제품 지원 기능이 있는 안전하고 상호 호환되며 신뢰할 수 있는 네트워크 솔루션을 보장합니다(그림 1 참조).

그림 1

시스코 음성 및 비디오 지원 IPSec VPN

IPSec에 대한 동적 멀티포인트


시스코는 Cisco IOS Version 12.2(13)T에서 IPSec에 대한 동적 멀티포인트를 도입할 예정입니다. 현재와 같은 메시형 네트워크에서는 터널의 일부 또는 대부분을 실행하지 않거나 터널이 전혀 필요하지 않더라도 모든 장치에서 모든 포인트-투-포인트 IPSec(또는 IPSec + GRE[Generic Routing Encapsulation] 터널)을 구성해야 합니다. 시스코 라우터에 대해 동적 멀티포인트 VPN 기능을 사용하면 한 라우터가 "허브"로 지정되고 나머지 모든 라우터("스포크")는 이 허브에 대한 터널로 구성됩니다. 스포크-투-허브 터널은 항상 열려 있습니다. 하지만 이 스포크가 다른 스포크에 대해서는 터널을 구성하고 있지 않으며 또 구성할 필요도 없습니다. 그 대신 한 스포크에서 다른 스포크(즉 다른 스포크 뒤의 서브넷)로 패킷을 전송하려는 경우에는 NHRP(Next Hop Resolution Protocol)를 사용하여 필요한 대상 스포크의 수신 주소를 동적으로 결정합니다. 허브 라우터는 NHRP 서버 역할을 하며 소스 스포크의 이 요청을 처리합니다. 이렇게 함으로써 두 스포크는 단일 멀티포인트 GRE(mGRE) 인터페이스를 통해 동적으로 서로를 이어주는 IPSec 터널을 만들고 직접 데이터를 전송할 수 있습니다. 지정된 비활성 기간이 지나면 시간 초과 기능이 자동으로 이 터널을 해제합니다(그림 2 참조).

그림 2
동적 멀티포인트 VPN

Cisco Easy VPN

Cisco Easy VPN은 시스코 라우터 및 보안 장치용 기능을 강화한 소프트웨어로서 이를 사용하면 원격 사무실과 재택근무자를 위해 간단하게 VPN을 구축할 수 있습니다. Cisco Easy VPN은 시스코의 Unified Client Framework를 이용하여 모든 키와 정책을 중앙에서 관리함으로써 VPN 구축을 간소화합니다.
Cisco Easy VPN에는 Cisco Easy VPN Remote 및 Cisco Easy VPN Server의 두 가지 컴포넌트가 있습니다. Cisco Easy VPN Remote를 사용하면 시스코 라우터와 보안 장치에서 복잡한 원격 구성을 하지 않아도 Cisco Easy VPN Server 지원 장치로 연결되는 VPN 터널을 자동으로 만들고 유지관리할 수 있습니다. Cisco Easy VPN Server는 Cisco Easy VPN Remote 지원 장치나 VPN 소프트웨어 클라이언트로부터 수신된 호출을 수락하고 연결을 설정하기 전에 해당 연결에 최신 정책이 적용되어 있는지 확인합니다.

Cisco Easy VPN은 일관된 연결과 정책 및 키 관리 방법을 제공하므로 단일 구현된 모든 Cisco Easy VPN Server 지원 장치 내에서 자유롭게 VPN Remote(시스코 라우터, 장치 또는 소프트웨어 클라이언트)를 선택할 수 있습니다.

고급 암호화 표준


시스코는 Cisco IOS IPSec을 사용하여 Cisco IOS Version 12.2(13)T의 IPSec에서 DES, 3DES 및 고급 암호화 표준(AES)을 지원합니다. Cisco IOS IPSec은 CBC(Cipher Block Chaining) 모드로 새로운 암호화 표준인 AES를 지원합니다.
AES 알고리즘은 128비트 키(기본값), 192비트 키, 256비트 키의 다양한 키 길이를 지정할 수 있습니다. 모든 시스코 VPN 번들은 소프트웨어 기반의 AES를 지원하며 Cisco 2691, 3725 및 3745 라우터는 하드웨어 기반의 AES 가속화 기능을 제공합니다.

NIST(National Institute of Standards and Technology: 미국 국립 표준 기술원)는 새로운 FIPS(Federal Information Processing Standard: 연방정부 정보처리 표준)를 공표함으로써 AES를 제정했습니다. AES에 대한 자세한 내용은 아래의 NIST 웹 사이트를 참조하십시오.
http://csrc.nist.gov/encryption/aes/

Cisco VPN Client(Easy VPN Remote 지원)


간단하게 설치하여 실행할 수 있는 Cisco VPN Client를 통해 모든 시스코 VPN 서버로 연결하는 안전한 엔드-투-엔드 암호화 터널을 만들 수 있습니다. 씬(thin) 설계 방식의 이 IPSec 구현 프로그램은 Cisco.com에서 다운로드할 수 있으며, 모든 VPN 라우터 번들에 CD로 포함되어 있습니다. 이 클라이언트는 대규모 설치를 위해 미리 구성할 수 있으며 초기 로그인 시 사용자 개입이 거의 필요 없습니다. VPN 액세스 정책과 구성은 중앙 게이트웨이에서 다운로드되고 연결이 설정되면 클라이언트로 푸시(push)되기 때문에, 높은 확장성을 보장하면서도 구현과 관리가 용이합니다. Cisco VPN Client는 Windows 95(OSR2+), 98, ME, NT 4.0, 2000 및 XP, Linux(Intel), Solaris(UltraSPARC - 32비트 및 64비트), MacOS X 10.1 및 10.2(Jaguar)를 지원합니다. 그림 3을 참조하십시오.

그림 3
Cisco VPN Client

Cisco 1700, 2600XM, 3600, 3700 시리즈 라우터용 VPN 모듈

시스코 VPN 라우터 번들에 포함된 VPN 모듈은 여러 개의 전이중(full-duplex) T1/E1 시리얼 연결에 적합한 속도로 DES 및 3DES 알고리즘을 사용하여 데이터를 암호화합니다. VPN 암호화 모듈은 암호화, 해싱, 키 교환, SA(Security Association) 저장 등 다양한 IPSec 관련 작업을 도맡아 처리함으로써 메인 프로세서와 메모리가 기타 다른 라우터, 음성 및 방화벽 기능을 수행할 수 있도록 합니다.
현재 Cisco 2691, 3725 및 3745 VPN 번들에는 DES와 3DES 외에 AES 및 하드웨어 기반의 압축 기능까지 제공하는 VPN 모듈이 포함되어 있습니다.

침입 탐지 기능이 구현된 Cisco IOS Firewall


번들에 IDS와 함께 포함되어 있는 Cisco IOS Firewall은 네트워크 공격으로부터 LAN을 보호합니다(그림 4 참조).
CBAC(Context-Based Access Control)는 애플리케이션별로 동적 또는 상태 보존형(stateful) 필터링 기능을 제공하기 때문에 세션이 활성 상태인 동안에만 합법적인 트래픽이 LAN에 접근할 수 있습니다. 효과적인 방화벽 기능을 구현하려면 CBAC 기능이 반드시 필요합니다. Cisco IOS Firewall은 Java 블로킹, 서비스 거부(DoS) 공격 탐지 및 방지, 감사 추적(audit trail), 실시간 경고 등의 다른 중요한 기능도 지원합니다.
Cisco IOS Firewall의 인증, 권한 부여 및 과금(AAA) 기능은 원격 사용자를 인증하고 특정 네트워크 리소스에 대한 액세스 권한을 부여하며 사용한 만큼 요금을 부과합니다. Cisco IOS Firewall IDS는 네트워크 트래픽에서 오용 패턴을 감지하는 서명을 사용하여 가장 일반적인 59개의 공격을 식별합니다.
Cisco IOS Firewall의 새 릴리즈에 포함된 침입 탐지 서명은 침입 탐지 서명의 폭넓은 크로스 섹션에서 선택되었으며 심각한 보안 위반과 가장 일반적인 공격 및 정보 스캔을 표시합니다.

그림 4
침입 탐지 기능이 구현된 Cisco IOS Firewall

터널링 및 암호화

IPSec은 다음과 같은 네트워크 보안 서비스를 제공합니다.

  • 프라이버시 - IPSec은 네트워크에서 패킷을 전송하기 전에 각 패킷을 암호화할 수 있습니다.
  • 무결성 - IPSec은 데이터가 전송 중에 변경되지 않도록 수신 피어(destination peer)에서 패킷을 인증합니다.
  • 인증 - IPSec 피어(peer)는 IPSec으로 보호된 모든 패킷의 소스를 인증합니다.
  • 재실행 방지(Anti-replay) 보호 - IPSec은 패킷의 캡처 및 재실행을 방지하고 서비스 거부(DoS) 공격을 차단합니다.
  • 암호화된 터널 - IPSec은 권한이 없는 entity가 가로챈 데이터를 읽지 못하도록 데이터를 보호하며, 멀티프로토콜 캡슐화 기능도 수행합니다.

Cisco IOS IPSec 기능 세트는 DES(56비트) 및 3DES(168비트) 암호화를 모두 지원합니다. Cisco IOS Version 12.2(13)T의 Cisco IOS IPSec 기능 세트는 AES도 지원할 예정입니다. 이 알고리즘은 128비트 키(기본값), 192비트 키 또는 256비트 키를 지정할 수 있습니다. 모든 시스코 VPN 번들에서 소프트웨어 기반의 AES를 지원하며, 특정 번들은 하드웨어(Cisco 2691, 3725 및 3745 라우터) 기반의 AES를 지원합니다.

IPSec이 구현된 GRE는 시스코의 고유 솔루션으로서, VPN을 통해 라우팅 업데이트를 보낼 수 있으므로 IPSec 전용 솔루션에 비해 네트워크 복원력이 훨씬 뛰어납니다. GRE 터널은 장애 복구(failover) 메커니즘은 물론 멀티캐스트 및 브로드캐스트 패킷과 비IP 프로토콜을 암호화할 수 있는 기능도 제공합니다. 따라서 시스코는 IPSec이 구현된 GRE를 사용함으로써 사이트-투-사이트 VPN 솔루션에서 AppleTalk 및 Novell IPX(Internetwork Packet Exchange)를 지원할 수 있습니다.
Cisco IOS 소프트웨어의 기능인 Cisco TED(Tunnel Endpoint Discovery)는 네트워크 보안 정책에 따라 터널링된 연결이 동적으로 자체 구성되므로 VPN의 모든 포인트-투-포인트 터널을 수동으로 구성할 필요가 없게 됩니다. 따라서 완전한 메시형 사이트-투-사이트 VPN 환경에 중요한 터널 확장성과 존속성(survivability)을 증대시킵니다.
IPSec에 대한 동적 멀티포인트는 VPN 스포크 연결을 간소화하는 Cisco IOS 소프트웨어 기능으로, 연결을 동적으로 결정하는 NHRP를 사용하여 한 라우터에서 다른 라우터에 대한 연결을 동적으로 설정할 수 있도록 합니다.

인증


시스코는 전세계 고객들에게 적극적인 제품 인증 및 평가 프로그램을 제공하기 위해 노력하고 있습니다. 시스코는 인증 및 평가 과정이 고객들에게 중요하다는 것을 알고 있으므로 인증 및 평가를 받은 제품만을 출시한다는 것을 원칙으로 합니다. 시스코는 인증 및 평가를 받은 제품의 미래에 일조하기 위해 국제 보안 표준 기구와 계속 협력할 뿐만 아니라 인증 및 평가 과정을 가속화할 것입니다. 인증 및 평가는 기업의 제품 개발 주기에서 초기 단계에 고려되며, 여기서 시스코는 고객들의 요건에 부합되고 인증 및 평가를 받은 다양한 보안 제품을 계속해서 선보일 것입니다.

FIPS


Cisco 1700, 2600, 3600 및 3700 시리즈 라우터와 Cisco VPN 모듈은 FIPS 140-1 레벨 2 보안 표준에 부합되도록 설계되었습니다. 현재는 Cisco 2611, 2651, 3640 및 3660만 FIPS 140-1 레벨 2 인증을 받았습니다. NIST는 FIPS 140-1을 FIPS 140-2로 업그레이드했습니다. 시스코는 수많은 라우터가 FIPS 140-2 레벨 2 인증을 따르도록 할 예정입니다. 시스코 제품의 현재 FIPS 인증 여부를 확인하려면 아래 웹 페이지를 참조하십시오.
http://www.cisco.com/warp/public/779/largeent/issues/security/secvpncert.html

아래 웹 페이지도 참조하십시오.
http://csrc.nist.gov/cryptval/

ICSA는 다양한 유형의 보안 제품에 ICSA IPSec 및 ICSA Firewall Certification을 부여하는 민간 보안 인증 기구입니다. 시스코는 ICSA의 IPSec 프로그램 및 방화벽 프로그램에 참여하고 있습니다. 시스코 제품의 현재 ICSA 인증 여부를 보려면 아래 웹 페이지를 참조하십시오.
http://www.cisco.com/warp/public/779/largeent/issues/security/secvpncert.html

Common Criteria


Common Criteria는 IT 보안을 평가하기 위한 국제 표준입니다. 이 표준은 기존의 국가별 보안 평가 과정을 대신할 단일 국제 표준을 설립하기 위해 국제 컨소시엄에서 개발되었습니다. 현재 14개국에서 공식적으로 Common Criteria를 인정했습니다. Cisco IOS IPSec의 여러 버전과 시스코 라우터는 이제 AISEP(Australasian Information Security Evaluation Program)와 ITSEC 또는 Common Criteria를 기준으로 비교 평가되고 있습니다.

시스코 제품의 현재 Common Criteria 인증 여부를 보려면 아래 웹 페이지를 참조하십시오.
http://www.cisco.com/warp/public/779/largeent/issues/security/secvpncert.html

아래 웹 페이지도 참조하십시오.
http://www.dsd.gov.au/infosec/aisep/EPL/ns.html

엔터프라이즈 기반의 VPN 네트워크용 관리 툴

CiscoWorks VPN/보안 관리 솔루션


CiscoWorks VPN/보안 관리 솔루션(VMS)은 네트워크 보안을 위한 SAFE Blueprint의 핵심 부분으로, 엔터프라이즈 VPN, 방화벽, 네트워크 및 호스트 기반 IDS를 구성, 모니터링 및 문제 해결하기 위한 웹 기반 툴을 통합합니다. CiscoWorks VMS(그림 5)는 소규모 및 대규모 VPN과 보안을 구축하기 위한, 업계 최초의 견고하고 확장 가능한 토대와 기능 집합을 제공합니다.
CiscoWorks VMS 2.1에는 Cisco VPN 라우터 관리 센터, Cisco PIX® 방화벽, IDS 센서, 보안 모니터링 센터 등이 포함되어 있습니다.

그림 5
CiscoWorks VPN/보안 관리 솔루션

기능

  • VPN 라우팅 관리 센터 및 보안 모니터링 센터
  • 새롭고 일관된 사용자 인터페이스, 워크플로 및 역할 정의
  • 신속한 정책 복제를 위한 스마트 규칙 계층 구조 및 유연성 있는 그룹화
  • 포괄적인 변경 제어 및 감사 기능
  • 중앙 집중식 RBAC(Role-Based Access Control) 지원

CiscoWorks VMS의 컴포넌트인 CiscoWorks 라우터 관리 센터는 VPN 연결 구성 및 구현을 위해 확장 가능한 보안 관리 기능을 제공합니다. 라우터 관리 센터를 사용하면 유연성 있고 직관적인 방법으로 대규모 VPN 및 사이트-투-사이트 VPN 연결을 구성하고 구축할 수 있습니다. 이 외에도 라우터 관리 센터는 각 사용자 및 구축 권한을 제어하기 위한 사용자 승인 관리 컨트롤을 제공하므로 대기업은 다양한 관리 및 운영 역할을 정의할 수 있습니다. 또한 라우터 관리 센터는 편리한 정책 정의를 위한 직관적 GUI, 계층 구조적 상속 모델, 유연성 있는 구현 옵션, 향상된 보고 기능 등을 제공합니다.

CiscoWorks VPN Monitor


CiscoWorks VPN Monitor는 웹 기반의 관리 툴로서, 네트워크 관리자는 원격 액세스 또는 사이트-투-사이트 VPN 터미네이션을 위해 IPSec VPN 연결에 대한 정보를 수집하고 저장 및 표시할 수 있습니다. 웹 브라우저를 통해 구성되며 사용하기 쉬운 대시보드에서 여러 개의 장치를 볼 수 있습니다(그림 6). CiscoWorks VPN Monitor는 모든 시스코 라우터 VPN 모듈에서 지원되는 IPSec MIB(Management Information Base)를 사용합니다.

VPN이 구축되었을 때 최적의 VPN 서비스를 제공할 수 있으려면 네트워크 관리자가 터널 및 VPN 장치의 상태를 모니터링할 수 있어야 합니다. 네트워크 관리자에게는 다음과 같은 정보가 필요합니다.

  • 작동 터널의 수
  • 각 터널의 처리량
  • 보안 네고시에이션(negotiation) 및 세션 상태
  • VPN 장치 성능 상태
  • 성능 한계값 위반

CiscoWorks VMS는 방화벽, VPN, 네트워크 기반의 IDS 및 호스트 기반의 IDS를 구성 및 모니터하고 문제를 해결하기 위한 통합 관리 솔루션을 제공합니다. 자동 업데이트와 스마트 규칙 계층 구조 등 CiscoWorks VMS에서 제공하는 다양한 고유 확장 기능을 통해 대규모 보안 인프라를 쉽게 구축할 수 있습니다.

그림 6
CiscoWorks VPN Monitor

Cisco VPN Solution Center 2.2(선택 사항)

이제 서비스 제공업체는 Cisco VPN Solution Center(VPNSC) Release 2.2를 통해 IPSec과 MPLS(Multiprotocol Label Switching) 기반의 IP VPN을 하나의 툴로 모두 관리할 수 있게 되었습니다. 이 외에도 VPNSC는 서비스 제공업체가 VPN 서비스를 효과적으로 계획하고 프로비저닝 및 운영하며 요금을 청구할 수 있도록 도와 주는 서비스 관리 솔루션 패키지를 제공합니다.

서비스 제공업체가 WAN 스위치, 라우터, 방화벽, VPN 집중기 및 Cisco IOS 소프트웨어 등이 포함된 VPN을 구현할 때에는 네트워크 인프라에서 이러한 장치를 관리하고 고객에게 SLA(Service-Level Agreement)를 제공할 수 있어야 합니다. 서비스 제공업체는 또한 비즈니스 고객이 네트워크 서비스 및 애플리케이션에 대한 액세스를 개인화할 수 있도록 지원해야 합니다. 이제 VPNSC는 서비스 제공업체가 오늘날 많은 비즈니스에서 요구하는 아웃소싱 VPN 서비스를 신속하게 구현할 수 있도록 최초의 비용 효율적인 통신 사업자급 VPN 서비스 관리 기능을 제공합니다. VPNSC 포트폴리오는 소형 사무실에서 기업 본사에 이르는 모든 사이트의 플랫폼에서 강력한 IPSec VPN 서비스를 Cisco IOS 소프트웨어의 모든 기능과 결합시킵니다. 시스코 VPNSC는 다음과 같은 기능을 제공합니다.

  • 시스코 장치, 즉 모든 Cisco IOS 장치 간에 IKE 및 IPSec 터널을 구성함으로써 IPSec IP VPN을 프로비저닝할 수 있는 기능
  • 포괄적인 허브-앤-스포크(hub-and-spoke), 완전 메시형(full-mesh), 부분 메시형(partial-mesh) VPN 토폴로지 보기
  • 여러 사이트를 엑스트라넷 및 인트라넷 VPN 등의 VPN에 추가함으로써 자유롭게 VPN 토폴로지를 구성할 수 있는 기능
  • 사이트-투-사이트 IPSec에 대한 서비스 프로비저닝 및 감사
  • IPSec 및 MPLS에 대한 SLA 모니터링
  • 작업 관리자(스케줄링)
  • TIBCO 이벤트 버스, CORBA(Common Object Request Broker Architecture) 이벤트 API 등 이벤트 API
  • 데이터를 Cisco VPN Solution Center 리포지토리로 쉽게 가져오고 내보내기 위한 XML(eXtensible Markup Language)

인터페이스

Cisco VPNSC 2.2는 Cisco 1700 및 2600 시리즈 라우터를 MPLS CPE(Customer Premises Equipment)로 지원하는 것은 물론 IPSec 장치로도 지원하므로 서비스 제공업체는 IPSec 및 MPLS 기반의 IP VPN을 모두 관리할 수 있습니다. Cisco 2691 모델은 현재 제공업체 에지를 지원할 수 있도록 이후 Cisco IOS 출시 날짜에 맞춰 테스트하는 중이지만 아직 지원되지는 않습니다.
Cisco VPNSC 2.2는 Cisco 3600 및 3700 시리즈 라우터도 MPLS CPE와 IPSec 장치로 모두 지원합니다. 이 외에도 Cisco VPNSC 2.2를 사용하여 Cisco 3640, 3660 및 3700을 제공업체 에지 장치로 지원할 수 있습니다.

기술 세부 사항 및 성능


성능 테스트는 Spirent Communications SmartBits SMB2000에 대한 전이중 패스트 이더넷 및 전이중 이더넷을 통해 수행되었습니다. SMB2000은 전이중 트래픽 생성기 및 카운터로 사용되었습니다. ICMP(Internet Control Message Protocol) 패킷은 SmartBits에서 생성되어 이더넷을 통해 테스트 중인 장치로 전송됩니다. SmartBits 테스트 툴은 기본적으로 IMIX 패턴이라고 불리는 혼합 패킷 정의를 지원합니다. IMIX 트래픽은 Smart Windows 애플리케이션에서 설정된 다음과 같은 스트림으로 정의됩니다.

  • 64바이트 패킷의 데이터 스트림 7개
  • 570바이트 패킷의 데이터 스트림 4개
  • 1518바이트 패킷의 데이터 스트림 1개

자세한 내용은 표 1을 참조하십시오. 표 2에는 주문 정보가 수록되어 있고, 표 3에는 섀시 기능이 요약되어 있습니다.

표 1: 시스코 VPN 번들

번들 IDS가 구현된 방화벽 GRE 및 IPSec *IP 페이로드 압축 프로토콜(IPPCP) **고가용성 또는 장애 복구 ***
MPLS VPN
VPN QoS 하드웨어 기반 AES 최대
터널 수
IMIX 3DES 패킷 3DES Mbps 패킷 1400
Cisco 1700 번들 소프트웨어 CPE 아니오 100 3.5 8
Cisco 2600XM 번들 소프트웨어 CPE 아니오 800 4 14
Cisco 2691 VPN 하드웨어 CPE 800 25 80
Cisco 3640A VPN 소프트웨어 PE 아니오 1000 5 18
Cisco 3662 VPN 소프트웨어 PE 1800 9 40
Cisco 3725 VPN 하드웨어 PE 아니오 2000 47 150
Cisco 3745 VPN 하드웨어 PE 2000 75 180


주: Mbps 3DES 속도는 백-투-백 패스트 이더넷 라우터 테스트를 기초로 합니다. 사용자의 실제 속도는 WAN 속도, 메모리, Cisco IOS 소프트웨어에서 실행하는 기타 애플리케이션에 따라 달라질 수 있습니다.

* 현재 VPN 모듈에서는 소프트웨어 기반의 Layer 3 IPPCP도 사용할 수 있습니다. 라우터 CPU에서 IPPCP를 실행할 수 있습니다(Cisco IOS Version 12.2(13) T 이상 필요).
** 고가용성 또는 장애 복구: Cisco IOS는 RRI(Reverse Route Injection) 및 IPSec이 구현된 HSRP(Hot Standby Router Protocol)를 지원합니다.
*** MPLS: 모든 VPN 보안 라우터 번들은 고객 에지 라우터에 대해 MPLS 확장을 지원합니다. 멀티VPN 라우팅 및 포워딩(VRF) 고객 에지는 제한된 제공업체 에지 기능을 MPLS-VPN 모델의 고객 에지 라우터까지 확장합니다. 고객 에지 라우터는 이제 각각의 VRF 테이블을 유지할 수 있게 되었습니다.

표 2에서는 시스코 VPN 라우터 번들에 대한 주문 정보를 제공합니다.

표 2: VPN 라우터 번들 주문 정보

시스코 제품 번호 설명 WAN 인터페이스 카드(WIC) 사용 가능 여부(선택 사항) 네트워크 모듈 사용 가능 여부(선택 사항) 전화 접속 백업 ISDN 또는 아날로그(선택 사항)
CISCO1721-VPN/K9 VPN 모듈, 64MB DRAM, IP Plus/FW/3DES로 구성된 Cisco 1721 VPN 번들 아니오
CISCO1721-VPN/K9-A ADSL WIC, VPN 모듈, 64MB DRAM, IP+/FW/3DES로 구성된 Cisco 1721 VPN 번들 아니오
CISCO1751-VPN/K9 VPN 모듈, 64MB DRAM, IP Plus/FW/3DES로 구성된 Cisco 1751 VPN 번들 아니오
CISCO1751-VPN/K9-A ADSL WIC, VPN 모듈, 64MB DRAM, IP+/FW/3DES로 구성된 Cisco 1751 VPN 번들 아니오
CISCO1760-VPN/K9 VPN 모듈, 64MB DRAM, IP Plus/FW/3DES로 구성된 Cisco 1760 VPN 번들 아니오
CISCO1760-VPN/K9-A ADSL WIC, VPN 모듈, 64MB DRAM, IP+/FW/3DES로 구성된 Cisco 1760 VPN 번들 아니오
CISCO1760-V3PN/K9 ADSL WIC, VPN 모듈, 32MB 플래시, 96MB DRAM, 4채널 DSP(Digital Signal Processor), IP Plus/ADSL/VOX/FW/IDS/3DES으로 구성된 Cisco 1760 V3PN 번들 아니오
C2611XM-2FE/VPN/K9 Cisco 2611XM VPN 번들, AIM-VPN/EP/2FE/IOS FW/IPSec 3DES, 96MB DRAM
C2621XM-2FE/VPN/K9 Cisco 2621XM VPN 번들, AIM-VPN/EP/2FE/IOS FW/IPSec 3DES, 96MB DRAM
C2651XM-2FE/VPN/K9 Cisco 2651XM VPN 번들, AIM-VPN/EP/2FE/IOS FW/IPSec 3DES, 96MB DRAM
C2691-VPN/K9 Cisco 2691 VPN 번들, AIM-VPN/EPII, Plus FW/IPSec 3DES, 128MB DRAM
C3640A-2FE/VPN/K9 Cisco 3640 VPN 번들, NM-VPN/MP, 2xFE, Cisco IOS FW/IPSec 3DES, 2WAN, 64DRAM
C2651XM-2FE/VPN/K9 Cisco 2651XM VPN 번들, AIM-VPN/EP/2FE/IOS FW/IPSec 3DES, 96MB DRAM
C2691-VPN/K9 Cisco 2691 VPN 번들, AIM-VPN/EPII, Plus FW/IPSec 3DES, 128MB DRAM
C3640A-2FE/VPN/K9 Cisco 3640 VPN 번들, NM-VPN/MP, 2xFE, Cisco IOS FW/IPSec 3DES, 2WAN, 64DRAM
C3662-2FE/VPN/K9 Cisco 3662 VPN 번들, AIM-VPN/HP, 2xFE, Cisco IOS FW/IPSEC 3DES, 96MB DRAM
C3725-VPN/K9 Cisco 3725 VPN 번들, AIM-VPN/EPII, Plus Cisco IOS FW/IPSec 3DES, 128MB DRAM
C3745-VPN/K9 Cisco 3745 VPN 번들, AIM-VPN/HPII, Plus Cisco IOS FW/IPSec 3DES, 128MB DRAM

주: 번들은 항상 해당 플랫폼에 대해 사용할 수 있는 최신 Cisco IOS IPSec 이미지 세트와 함께 제공됩니다.

요약


Cisco IOS 소프트웨어를 바탕으로 구축된 Cisco VPN 라우터는 업계 최상의 WAN 서비스를 이용하여 사이트-투-사이트 VPN 솔루션에 대한 표준을 정립해 나갑니다.

  • 다양한 네트워킹 환경 지원 - IPSec은 유니캐스트 IP 전용 프로토콜입니다. Cisco IOS 소프트웨어를 이용하는 Cisco VPN 라우터는 멀티캐스트 및 멀티프로토콜 트래픽은 물론 VPN상의 라우팅까지 수용하므로 다양한 VPN 환경에서도 유연성 있는 솔루션을 제공합니다.
  • 대기 시간이 중요한 트래픽을 제때에 안전하게 전달 - 시스코 VPN 라우터의 대역폭 관리 기능을 사용하면 애플리케이션 레이어까지 트래픽 우선 순위를 지정할 수 있으므로 TCP 포트 번호가 아니라 진정한 애플리케이션 유형별로 차별화된 QoS 정책을 적용할 수 있습니다.
  • V3PN - V3PN은 보안 IPSec 네트워크에서 음성, 비디오 및 데이터 트래픽을 통합할 수 있는 VPN 인프라를 제공합니다.
  • 사이트별 VPN 확장성 - 시스코는 전용 헤드엔드 VPN 라우터에서 WAN 인터페이스와 상태 보존형(stateful) 방화벽이 포함된 독립형(single-box) 원격 사무실 VPN 라우터 솔루션에 이르기까지 광범위한 VPN 장치를 제공합니다.

Cisco 1700, 2600, 3600 및 3700 시리즈 보안 VPN 번들을 통해 엔터프라이즈 및 서비스 제공업체는 간편하게 시스코 라우터를 VPN으로 구축함으로써 새롭고 강력한 서비스를 이용할 수 있습니다. 이러한 번들은 역시 시스코의 Cisco 7100 및 7200 VPN 번들을 크게 보완하는 제품으로, VPN 구매자의 범위, 기능 및 가격 선택의 폭을 넓혔습니다.

표 3: 섀시 기능 요약

VPN 라우터 번들 패스트 이더넷 포트 통합 슬롯 WIC 또는 음성 WIC(VWIC) 통합 슬롯 음성 인터페이스 카드(VIC), WIC 또는 VWIC 슬롯 VIC전용 슬롯 네트워크 모듈 슬롯 Cisco IOS 소프트웨어 플래시 메모리(MB)* DRAM 메모리(MB)* VPN 카드 기타 모듈
c1721-VPN/K9 1 2 - - - IP Plus/FW/IDS/3DES 16 64 MOD1700-VPN 선택 사항
c1721-VPN/K9-A 1 2 - - - IP Plus/FW/IDS/3DES 16 64 MOD1700-VPN WIC-1 ADSL 포함
c1751-VPN/K9 1 - 2 1 - IP Plus/FW/IDS/3DES 16 64 MOD1700-VPN 선택 사항
c1751-VPN/K9-A 1 - 2 1 - IP Plus/FW/IDS/3DES 16 64 MOD1700-VPN WIC-1 ADSL 포함
c1760-VPN/K9 1 - 2 2 - IP Plus/FW/IDS/3DES 16 64 MOD1700-VPN 선택 사항
c1760-VPN/K9-A 1 - 2 2 - IP Plus/FW/IDS/3DES 16 64 MOD1700-VPN WIC-1 ADSL 포함
C1760-V3PN/K9 1 - 2 2 - IP Plus/ADSL/VOX/FW/IDS/3DES 32 96 MOD1700-VPN 4채널 DSP 포함
c2611XM-VPN/K9 c2621XM-VPN/K9 c2651XM-VPN/K9 2 2 - - 1 IP Plus/FW/IDS/3DES 32 96 AIM-VPN/EP 선택 사항
c2691-VPN/K9 2 3 - - 1 IP Plus/FW/IDS/3DES 32 128 AIM-VPN/EPII ** 선택 사항
3640A-VPN/K9 2 2 - - 4 IP Plus/FW/IDS/3DES 16 64 AIM-VPN/MP 선택 사항
3662-VPN/K9 2 2 - - 6 IP Plus/FW/IDS/3DES 32 96 AIM-VPN/HP 선택 사항
3725-VPN/K9 2 3 - - 2 IP Plus/FW/IDS/3DES 32 128 AIM-VPN/EPII ** 선택 사항
3745-VPN/K9 2 3 - - 4 IP Plus/FW/IDS/3DES 32 128 AIM-VPN/HPII ** 선택 사항

* 모든 Cisco 1700, 2600 및 3600 번들에는 업그레이드된 플래시 및 DRAM 메모리가 포함되어 있습니다.
** Cisco 2691, 3725 및 3745 VPN 모듈은 DES, 3DES, AES 및 압축을 지원합니다
2007/05/04 11:57 2007/05/04 11:57

트랙백 주소 :: http://thinkit.or.kr/network/trackback/337

댓글을 달아 주세요