USB 閃存模塊和USB eToken支持

　　 

概述

問：什么是USB eToken支持？

答：USB eToken特性支持Aladdin Knowledge Systems開發的eToken Pro密鑰，能夠安全地與機箱分開保存和部署信息，一般包括啟動配置或VPN證書。這個特性能夠方便地以安全方式加載低接觸和企業級配置系統支持的路由器證書和配置數據。

問：什么是USB 閃存模塊？
答：USB 閃存模塊是由思科系統?公司銷售的硬件設備，能夠在通用串行總線（USB）端口上提供備用閃存功能。

問：USB支持將從什么時候開始提供？
答：對USB接口的支持將從IOS 12.3（14）T開始提供。

問：哪些平臺支持這兩個特性？
答：配有本機USB接口的所有思科路由器都支持這兩個特性，包括Cisco 871、1811、1812、1841、2800系列和3800系列集成多業務路由器。

問：這個特性是否支持USB 2.0？
答：這個特性與USB版本無關。USB 閃存和eToken都屬于USB 2.0設備。Cisco 1841、Cisco 2800系列和Cisco 3800系列集成多業務路由器只支持USB 1.1接口。Cisco 871、1811和1812集成多業務路由器配有USB 2.0接口。

問：產品編號是什么？
答：USB 閃存的產品編號如下表所示。

vborders width="100%">

表1 USB閃存的部件號
產品編號	說明
MEMUSB-64FT	64 MB USB 閃存
MEMUSB-64FT=	64 MB USB 閃存（備件）
MEMUSB-128FT	128 MB USB閃存
MEMUSB-128FT=	128 MB USB 閃存（備件）
MEMUSB-256FT	256 MB USB 閃存
MEMUSB-256FT=	256 MB USB 閃存（備件）

問：是否支持其它閃存規格？
答：不支持。只支持表中列出的思科閃存設備。

問：是否支持其它USB設備？
答：不支持。此次支持的USB設備只包括USB 閃存和USB eToken。

應用

問：可拆卸證書特性的工作原理是什么？
答：可拆卸證書特性使用的是第三方產品，即Aladiin（www.aladdin.com/cisco）開發的eToken。eToken使用智能卡技術保護小存儲區域，并通過PIN決定是否允許訪問。如果將IP Security（IPSec）VPN證書保存在eToken上，可以安全地存在于路由器外部。如果將令牌插入到USB端口中，路由器可以驗證PIN通過，解鎖并獲取證書，然后將其復制到當前內存中。拆卸令牌后，路由器將從當前內存中擦除證書，以保證任何人不能從路由器本身獲取證書。

問：USB 閃存支持哪些特性？
答：USB 閃存特性提供了可選的備用存儲功能。鏡像、配置或其它文件可以復制到思科USB 閃存條上，也可以從思科USB 閃存條復制，而且可靠性與利用Compact 閃存保存和恢復文件的可靠性相當。

問：什么是無接觸或低接觸配置應用？
答：如果與Cisco CSN 2100系列智能引擎或普通文件傳輸協議（TFTP）服務器結合在一起，USB端口可以支持無接觸或低接觸配置應用。如果利用閃存提供非安全配置，或者利用eToken建立安全解決方案，將能夠直接把路由器從工廠部署到最終用戶。兩種USB方式都保存啟動配置，以便路由器啟動和建立基線連接。建立連接之后，路由器可以與智能引擎或TFTP服務器聯絡，下載完整配置或新的Cisco IOS Software鏡像。有了這個功能之后，企業不再需要每次安裝時都向客戶地點派遣技術人員。

問：USB 閃存與eToken之間有什么區別？
答：USB 閃存與USB eToken之間的區別如下表所示：

USB 閃存與USB eToken之間的區別
功能	USB eToken	USB 閃存
可訪問性	用于安全地保存數字證書和路由器配置，并將這些配置從eToken傳輸到路由器。	用于保存和部署路由器配置和鏡像，并將這些配置和鏡像從USB 閃存部署到路由器。
存儲大小	32Kb	64MB 128MB 256MB
文件類型	一般用于存儲啟動數據、數字證書以及防火墻和IPSec VPN的配置 eToken不能存儲Cisco IOS鏡像	保存Compact Flash也可以存儲的文件類型
安全性	文件只能通過用戶PIN加密和訪問 文件也可以用非安全格式存儲	文件只能用非安全格式存儲
啟動鏡像和配置	配置可以從eToken導入到路由器中 備用配置可以從eToken導入到路由器中。利用備用配置，用戶可以加載IPSec配置	配置文件自動從USB 閃存傳輸到路由器

可拆卸證書

問：什么是eToken？
答：eToken是USB令牌上智能卡的商標名稱。eToken商標名稱由Aladdin Knowledge Systems所有。為實現這種應用，還支持eToken PRO設備。eToken提供了少量的閃存存儲空間，最高32KB，并受智能卡保護。智能卡用PIN解鎖。

問：什么是智能卡？
答：智能卡是一種信用卡大小的塑料卡，其中包含一個通用微處理器，一般是8位微控制器，例如Motorola 6805或Intel 8051。微處理器放置在卡一端的金色接觸墊的下面。eToken的智能卡已經做成USB形狀。

問：在哪兒能買到eToken？
答：eToken由Aladdin Knowledge Systems制造并銷售，產品編號為<產品編號>，但必須通過經Aladdin驗證的合作伙伴購買。如果想查找本地的Aladdin合作伙伴，請訪問：www.aladdin.com/cisco。如果想詳細了解Aladdin Knowledge Systems及其產品，請訪問：www.aladdin.com/cisco。

問：eToken怎樣才能獲得PIN？
答：實際上，eToken共使用兩個PIN：管理員PIN和用戶PIN。用戶PIN有默認值，而管理員PIN沒有默認值。只有擁有了管理員PIN，才能設置或修改用戶PIN。用戶PIN用于執行令牌解鎖，并訪問受保護的內存區。PIN可以從路由器命令行界面（CLI）設置和修改，也可以利用Aladdins的令牌管理系統（TMS）設置和修改。如果想詳細了解TMS，請訪問：www.aladdin.com。

問：怎樣在eToken上放置文件？
答：在eToken上放置文件的方式有兩種。第一種是利用“復制”命令直接從路由器傳輸文件，第二種是使用Aladdin Knowledge Systems開發的TMS軟件應用。如果想詳細了解TMS，請訪問：www.aladdin.com。

問：哪類文件可以放置在eToken上？
答：適合eToken的所有文件都能放置其上。為實現安全存儲，一般將二進制X.509數字證書和配置文件存儲在eToken上。配置文件還可以包含預共享密鑰。除配置文件外，其它所有文件都必須從CLI復制。

問：怎樣檢查eToken上的文件？
答：可以使用show <token_name> 或dir <token_name> 命令查看eToken的內容。如果想查看可用令牌名稱，可以使用show file systems命令。

問：拆卸eToken后是否可以延期從內存中刪除證書？
答：可以。利用removal timeout命令，可以設置eToken拆卸之后內存中的證書有效期。默認期限是下一互聯網密鑰交換（IKE）操作驗證期到來，即需要再次訪問密鑰之前。管理員可以設置短于默認期的各種期限。

問：是否可以將證書從eToken復制并存儲到路由器上？
答：可以?？梢詫⒆C書復制并直接存儲在路由器上，但這樣就失去了可拆卸證書的價值。

問：eToken是否能為VPN通道產生密鑰？
答：目前，eToken還只能用于安全存儲。路由器必須產生密鑰。

問：是否可以從eToken啟動鏡像？
答：不能。eToken的存儲量只有32KB，不足以支持Cisco IOS Software鏡像。

問：eToken是否有非安全存儲區？
答：是的。eToken能夠以文件為單位保護文件，因此，文件能夠以非安全或安全方式存儲。

問：是否可以從eToken啟動配置？
答：可以，可以使用boot config命令規定查找啟動配置的位置，也可以使用crypto pki token <token_name> secondary config <file>命令加載備用配置文件，并將其合并到當前配置中，而不是覆蓋當前配置。利用備用配置，不但能從eToken啟動配置，還能只在安裝令牌時加載IPSec配置，提高安全性。

USB 閃存

問：USB 閃存條提供哪些規格？
答：USB 閃存條包括64MB、128MB和256MB規格，不支持其它容量。

問：是否可以為該應用使用任何USB閃存條？
答：不是，只能使用思科USB閃存條。多數第三方閃存條都需要安裝基于Windows的API和動態插入驅動程序。Cisco IOS Software不支持Windows應用。思科測試表明，如果沒有API，許多內存棒都無法正常運行。所有第三方閃存條都需要符合思科第三方內存策略要求，欲知詳情，請訪問：http://www.cisco.com/en/US/products/prod_warranties_item09186a00800b5594.html。

問：USB 閃存支持哪類文件？
答：可以在路由器Compact 閃存上存儲的所有文件都可以在USB 閃存上存儲，包括Cisco IOS Software鏡像和配置文件。

問：是否可以直接從USB 閃存模塊啟動鏡像？
答：不可以。USB驅動程序只在Cisco IOS Software上提供。只有啟動了Cisco IOS鏡像才能加載驅動程序，只有加載了驅動程序才能將文件復制到USB 閃存模塊，或者從USB 閃存模塊復制文件。

問：是否可以從USB 閃存模塊啟動配置文件？
答：可以。安裝USB 閃存模塊之后，路由器將自動接收，并給予支持。

問：是否可以在路由器上對USB 閃存模塊執行格式化？
答：可以，可以在路由器或PC上對模塊執行格式化。執行PC格式化過程中，必須將文件系統規定為“FAT16文件系統”。

無接觸或低接觸配置

問：什么是無接觸或低接觸配置？
答：無接觸配置指直接從工廠向客戶地點供貨，然后遠程執行軟件配置和設置，整個過程中不需要高技術人員接觸路由器。利用無接觸配置，可以通過自動流程執行配置。低接觸配置是無接觸配置的改版，指需要高技能人員或系統工程師花費少量時間與路由器實時交互。

問：USB 閃存和USB eToken特性怎樣支持該應用？
答：利用USB 閃存特性，最終用戶可以將配置文件和/或Cisco IOS Software鏡像存儲在USB 閃存模塊上。如果啟動之前就將該模塊插入路由器，而且當前啟動配置包含“boot config <usb閃存:filename>”或“boot system 閃存 <usb閃存:image_name>”命令，路由器將用命名文件啟動。USB 閃存模塊上的啟動配置文件將把路由器與智能引擎或TFTP服務器連接，或者與可以完整配置路由器的完全配置連接。用保存在USB 閃存模塊上的鏡像文件啟動路由器時，要求啟動幫助鏡像能夠讀取USB 閃存設備。另外，程序文件還可以更新路由器上的Cisco IOS Software鏡像，部署新的特性集。

eToken模塊能夠將啟動配置存儲在無保護內存空間里。路由器也可以從這種配置啟動，然后與Cisco CNS 2100系列智能引擎或TFTP服務器聯絡，獲得完整的最終配置。當智能引擎把安全Cisco IOS特性集推廣到路由器上時，這種情況可以得到擴展。一旦路由器配置中具備了安全特性集和正確的PIN，將能夠解除包含數字證書或VPN證書的eToken模塊保護區的鎖定，對IPSec通道進行驗證。

一般問題

問：使用這些特性時需要哪些Cisco IOS特性集？
答：支持USB接口的第一個Cisco IOS Software版本是IOS 12.3（14）T。USB 閃存模塊可以與任何Cisco IOS特性集、IP Base或以上的特性集配合使用。但是，無論怎樣使用eToken模塊，都要求高級安全特性集或以上的特性集。

問：思科管理工具是否將負責管理令牌、PIN和可拆卸證書？
答：思科路由器以及Security Device Manager（SDM）和CiscoWokrs Resource Manager Essentials（VMS）都計劃支持這些特性。CiscoWokrs VMS還計劃在未來版本中與TMS集成在一起。

問：兩種USB設備能否同時使用？
答：在Cisco 2811、2821、2851和3845路由器上，可以同時使用兩種USB設備。設備使用與接口無關，因為它們是在插入時自動編號的。Cisco IOS Software將把設備識別為USB 0和USB 1。任何USB端口都可以使用支持設備的任意組合。

問：能否使用USB擴展電纜？
答：USB擴展電纜已通過測試，可以使用。選擇電纜時，應使用兩端都有完整絕緣層的電纜，以保證連接時沒有金屬線露在外面，否則會出現電磁放電或靜電脈沖現象。

問：能否使用一個USB集線器添加更多設備？
答：目前還不支持USB集線器。所有USB設備都必須直接與主板上的USB接口相連。

原文轉自：http://www.kjueaiud.com