答案是肯定的,現在Cisco新推出的VPN 3002 Hardware Client滿足了這些需求,3002利用Cisco VPN 3000系列集中器和PIX 6.0防火墻形成了VPN,這種機盒的配置和擴展都非常簡單,它能將遠程辦公室與總部系統安全有效地連接起來,而且不會消耗CPU資源。
VPN 3002 Hardware Client之所以受到矚目,是因為它提供了LAN-to-LAN VPN的功能,但管理卻并不復雜。另外,它在一個client上支持多達253個主機,可以將不同規模的遠程辦公室連接到一個中心網絡上。例如,將兩個VPN 3002安裝在兩個不同的子網上,一個VPN 3060集中器安裝在第三個作為中心網絡的子網上。比起典型的LAN-to-LAN VPN,VPN 3002的安裝與配置更簡單,在第一個VPN 3002管理控制臺上創建client配置后,就可將所有的配置復制到另一個正在不同的遠程網絡上擴展的client上,這就節省了大量的時間,大約在30分鐘內就可在VPN上從任何client訪問集中器,而這些在LAN-to-LAN VPN上是不可能完成的。
配置簡單
可以將VPN 3002配置為兩種模式:
在硬件安裝過程結束后,將一臺工作站用線纜連接到VPN 3002,然后用瀏覽器或控制臺終端去連接它的缺省IP地址。在設置VPN 3002參數時,可以進入快速安裝模式,在這種情況下,只需全部接受配置的缺省值。在快速安裝模式下,必須定義VPN 3002私有網絡的IP地址、子網和IP地址池(IP address pool),私有連接網絡的IP地址將從這個地址池中得到。VPN 3002不會缺省為client DHCP配置,但是,當需要定義遠程網絡的IP地址子網掩碼時,可以通過點擊一個復選框去實現。
當然,也可以手工設置用戶管理的策略,靜態配置一個管理IP地址,定義使用哪一種散列算法在VPN 3060集中器上加密和驗證。VPN 3002可以遠程配置,也就是說當VPN 3002連接到3060集中器時,它會將最新的策略下載并啟用,就像軟件client所做的一樣。
在配置VPN時,一般所有最終地址是中心網絡的流量必須在VPN上轉發,而其他流量也能以很快的響應速度經過VPN 3002到達Internet。VPN 3002的一個出色的安全特性就是它能夠分離網絡流量通道。使用分離通道時,所有的流量無論其最終地址是哪里,都必須通過VPN。利用VPN 3002,就好像遠程主機是在本地訪問網絡,而所有要做的僅僅是配置VPN client,即從指派的IP地址池和與一個遠程主機相關的VPN client中得到本地地址。最終,VPN 3002對基于信息包的目的地址在網絡上發送流量做出決定。
在私有網絡上向目標網絡發送的所有包都用IKE(Internet Key Exchange)和IPsec(IP security)管理,其中IKE主要用于連接管理,IPsec用于傳輸。
IPsec穿過NAT
VPN 3002通過NAT(Network Address Translation)模式支持IPsec的性能非常出色。普通NAT的實現過程是基于第四層信息去翻譯包的IP地址,例如TCP/UDP端口。因為IPsec是端到端地封裝第四層數據,所以在IPsec上NAT通信是不可能的。為此,VPN 3002和與之相應的集中器通過增加另外一層的封裝而相互通信。在一個IPsec包被VPN 3002送出前,它被封裝進一個UDP包,并分配一個目的地址端口,最終,UDP包就能順利地通過NAT。當IP包到達它的目的地時,VPN集中器剝去IP和UDP報頭,然后處理IPsec包。
