思科远程接入

!
"#SMCCisco7200VXRCisco7200!
"#$%&Cisco7200VXRWANMAN!
"!
"01234567Cisco7200VXR!
"#!
"IT!
"1思科凭借全新Cisco7200路由器产品巩固它在全球路由市场的领先地位02!
思科企业MAN/WAN架构04思科企业MAN/WAN架构以思科服务导向网络架构(SONA)框架为基础,使企业可通过一个功能强大、采用了灵活技术的智能信息网络,来连接其遍布全球的企业分支机构!
FreseniusMedicalCare选择思科集成多业务路由器和VPN战略来开发医疗级网络11FirstNationalBankOmaha选择思科IP/MPLS整合网络14!
Cisco7200VXR路由器安全WAN和MAN服务汇聚的新基准16Cisco7200VXR系列和网络处理引擎NPE-G2升级18企业总部网络安全特性20本产品简介主要阐述了Cisco7200系列路由器和Cisco7301路由器的网络安全特性Cisco7200VXR系列服务汇聚路由器提供了低廉价位、出色性能、可扩展性和灵活性的独特组合,可帮助您的企业顺畅运行.
本书将帮助您了解这些技术可使您的企业获得的优势.
!
"#Cisco7200!
"#$%&'(!
"#$%&!
"#$%&'(WAN[新加坡-2006年5月2日-]思科系统公司今天推出三款适用于Cisco7200系列路由器的新产品,以独特的可扩展性、价值、性能和灵活性组合,提供了广域网(WAN)和城域网(MAN)服务汇聚功能.
这些新产品有助于确保客户能满足企业总部对于处理能力、安全和容量不断提高的要求,而分支机构所部署的高级安全、语音和视频应用等集成服务则是推动总部要求提高的动力.
Cisco7200路由平台在亚太地区取得了巨大的成功,在Cisco7200的全球部署总量中占大约15%.
此次宣布的产品改进有望推动该产品在本地区的更广泛部署.
全新Cisco7200网络处理引擎(NPE-G2)、Cisco7200VPN服务适配器(VSA)和Cisco7200端口适配器接口卡,为以OC-3和GE速度提供高度安全的服务汇聚路由设立了新基准.
"随着思科技术产品系列的扩展,我们将继续兑现我们进行路由产品创新的承诺.
路由器仍将是互联网和广域网的核心,但它们需与向智能信息网络的发展保持同步.
今天的声明证实了思科将继续关注路由技术的开发和发展",思科系统公司亚太区产品管理总监GaryComan表示.
Cisco7200路由器的亚太区客户包括中国人民银行和LG.
"我们对Cisco7200系列路由器的性能和可靠性极为满意",中国人民银行的一个分公司,中国金融电子化公司的网络总监ChenLiWu先生表示.
"我们认为在我们的网络中部署Cisco7200的决定是十分正确的.
我相信这些创新将使思科更好地保持其在企业WAN路由领域的市场领先地位",LGCNSLG*Net的IT经理H.
YKIM说.
Cisco7200系列路由器中的服务集成可帮助客户降低运营成本,简化安装、维护和网络管理.
此外,无需手动升级即可添加高级服务的能力也可保护客户的原始投资.
Cisco7200NPE-G2是Cisco7200VXR机箱的最新路由引擎.
Cisco7200NPE-G2与前几代产品相比,多服务性能提高了一倍,且支持全部CiscoIOS软件特性,拥有网络处理引擎系列中的最高性能和可扩展性.
它所具备的其他特性包括:威胁防御、高度安全的虚拟专用网(VPN)连接、网络准入控制和语音/IP到IP网关功能.
Cisco7200VSA是一个VPN硬件加速模块,当与Cisco7200NPE-G2卡共用时,可将性能提高三倍.
籍此,可支持大型IPsec汇聚架构和更安全的CiscoIOS软件连接.
为满足对于灵活性和容量的不断提高的要求,Cisco7200端口适配器接口卡提供了更高插槽密度.
原I/O插槽现在能安装一个端口适配器,为采用Cisco7200NPE-G1和更高网络处理引擎版本的系统提供更大容量.
这不仅可经济有效地提高插槽密度,而且同时能提高最新引擎——Cisco7200NPE-G2的交换能力.
思科为服务汇聚客户提供了基于Cisco7200成熟部署的架构.
作为思科服务导向网络架构(SONA)的一部分,这些可扩展架构可帮助客户缩短部署时间、降低设计开销,并将安全、语音和视频等服务集成到WAN及MAN基础设施中.
思科还提供了思科生命周期服务,通过持续网络运行和优化服务来使客户受益.
这些架构与客户服务相结合,使IT机构能更好地支持不断变化的业务需求并随之扩展,同时推动企业整体发展和效率的提高.
2!
!
Cisco7200!
"#$%2006年5月Cisco7200VPN!
"2006年下半年Cisco7200!
"#$已面世如需了解有关今天所发布产品的更多信息,请访问:www.
cisco.
com/go/servicesaggregation.
!
"#$%思科系统公司(NASDAQ:CSCO)是全球互联网领域的领先厂商.
如需了解有关思科的信息,请访问www.
cisco.
com.
如需查看最新新闻,请访问newsroom.
cisco.
com.
如需查看亚太地区新闻和信息,请访问www.
cisco.
com/asiapac/news.
3!
!
WAN/MAN当今的跨国企业需要智能网络,来帮助他们提高广域网(WAN)和城域网(MAN)中的应用和服务效率.
思科企业MAN/WAN架构以思科服务导向网络架构(SONA)框架为基础,使企业可通过一个功能强大、采用了灵活技术的智能信息网络,连接其遍布全球的企业分支机构.
该基础设施可帮助他们提高网络和应用效率、增强生产率、把握新商机、降低成本、增加收入和改进客户服务.
今天,大多数企业依靠帧中继、ATM或租用专线服务等专用WAN链路来实现连接.
但是,在构建和部署一个传统的、基于帧中继或ATM的专用WAN时,企业必须采用点到点架构或星型架构,这些架构需连接每个地点和设备,因此需要大量配置.
专用WAN与基于IP的WAN技术相比,每月的重复成本高出很多,而且部署新用户和分支机构的冗长过程会延长企业的生产周期,并占用有限的IT资源.
在目前的业务环境中,提供无所不在的连接和最大限度地利用公司联网资源,是企业降低成本、提高生产率和保持竞争优势的决定性因素.
IT经理面临着资源和预算有限的压力,他们日益需要更为经济高效、灵活、便于扩展的MAN和WAN架构,来简化公司网络,以及与客户、供应商和合作伙伴建立起更加强大、稳固的合作关系.
此外,他们还需将分立的企业数据、语音和视频网络迁移到一个便于扩展、可靠的融合网络.
思科企业MAN/WAN架构为迎接上述挑战提供了一个强大的解决方案.
该架构提供了详细、成熟的城域网和广域网设计,凭借融合的智能联网基础设施,在各企业地点(如数据中心、园区、分支机构和远程工作人员办公室等)之间共享IT资源,并提供交互式服务,以实现更为高效的应用和业务流程.
利用该架构,企业可受益于思科先进的解决方案,以及数十年与各行业企业合作、提供技术和服务来改善企业运营的经验.
!
MAN/WAN思科MAN/WAN架构提供了安全的WAN和MAN连接,支持安全、语音、视频和网络分区等先进、可靠的功能和应用.
通过思科企业MAN/WAN架构将数据中心、总部、分支机构和远程工作人员相连,使企业可节约成本,并受益于已成为业界标准的、成熟的集成技术和服务.
思科企业MAN/WAN架构为连接企业的多个地点提供了众多选项,并提供了多种技术来连接数据中心、分支机构、远程机构、供应链、呼叫中心和移动员工等.
该架构也可帮助企业在业务需求改变时,方便地从一种MAN/WAN技术逐步迁移到另一种MAN/WAN技术.
在很多情况下,这种迁移可通过保留现有思科网络基础设施、增强现有平台或升级某些产品而实现,无需更换整个网络.
!
"#$%——与其他厂商相比,思科提供了最高的集成安全性、服务级别(CoS)和服务质量(QoS),以便在MAN和WAN上支持高级服务.
这些功能内置于思科产品和架构之中,使企业可通过各地分支机构间的IP通信来降低话费,并在网络上支持视频会议、客户关系管理(CRM)、供应链管理(SCM)、企业资源规划(ERP)等多种应用.
!
"#——思科企业MAN/WAN架构可帮助企业围绕一个统一的架构来调整IT培训和运营,有助于降低运营开支并缩短解决问题的时间.
此外,适用于MAN和WAN架构的、范围广泛的思科网络管理应用也可降低总拥有成本(TCO)、提高生产率并简化后续维护支持.
这些应用包括面向LAN和WAN的CiscoWorksLAN管理解决方案、用于MPLS网络的CiscoIPSolutionCenter、CiscoWorksIPTelephonyEnvironmentMonitor和CiscoWorksVPN/安全管理解决方案(VMS).
在这些产品中,包括多种适用于WAN、MAN、IP电话和MPLS技术的配置、故障和安全管理设备.
!
"#$——思科企业MAN/WAN架构可帮助企业避免、应对代价高昂的断电、安全违背,以及园区和地区紧急事件,且从中快速恢复.
它们也能确保保密的语音和数据通信不受干扰,员工能持续访问业务应用.
!
"#$——思科与通过CiscoPoweredNetwork认证的电信运营商建立了密切的合作关系.
通过此计划,思科与电信运营商分享他们对于客户需求的了解,并提供联网技术,以便将服务理念付诸实践,支持多种特性,如链路分片和交叉(LFI)及透明QoS,以消除串行延迟,帮助电信运营商实施企业QoS.
企业可选择以思科产品构建网络的电信运营商,来提供延迟低、可用性高、便于扩展的网络阵列,这对于在VPN上传输语音、视频和数据十分重要.
MANWAN!
"#$%&思科企业MAN/WAN架构以一系列功能强大、成熟且基于标准的技术为基础.
通过思科产品构建的网络可满足多种业务需求以及各行业客户的独特要求.
在选择技术时,决策制订者应考虑以下因素:!
"#——预计将大幅发展的企业应选择一种能允许网络随业务发展而扩展的MAN或WAN技术,考虑连接新分支机构和远程机构所需的时间、成本和各方面的付出.
充分支持网络扩展的WAN技术使企业只需在现有站点进行极少配置,即可添加新分支机构或远程机构,从而降低了这类变化的成本和对IT人员的要求.
如选择了无法有力地支持网络扩展的WAN技术,则需要耗费多得多的时间、精力和成本来扩展网络.
——会因网络通信出现极短中断而受到严重影响的企业应在考虑选择MAN或WAN技术时,将可用性作为一个重要因素.
高度可用的MAN或WAN技术内嵌了冗余性,在网络中不会存在单故障点.
而可用性较低的MAN或WAN技术虽然可在较短的时间内从网络中断中恢复,但这对于某些企业来说也是无法承受的.
通过进行冗余设计,使用带冗余特性的产品,如多条WAN连接,或使用备用电源等,可在采用可用性较低的MAN或WAN技术时,提高它们的可用性.
4!
"——部分WAN技术可能会导致电信运营商费用较高.
例如,帧中继或ATM等专线技术,与IPSecVPN这类可利用公共互联网降低成本的技术相比,通常会使企业付出较高的运营商费用.
但值得注意的是,如果只是为了降低运营商费用这一个目的而迁移到某特定技术,而并未考虑网络性能和QoS的话,那么有可能会限制对于语音和视频等部分高新技术的支持.
!
"#$——大多数思科MAN和WAN技术都支持有助于在网络上运行语音和视频等高新应用的QoS.
当支持某种WAN技术的电信运营商采用了思科通过QoS认证的多服务IPVPN时,即可保证提供足够高的QoS来支持语音和视频流量.
而在将公共互联网作为WAN连接的情况下,不能总是保证QoS,须为使用语音和视频通信的小型机构、远程工作人员和远程联系中心业务代表部署一条高带宽的宽带连接(>786kbps上行流量).
——思科MAN和WAN技术的技术复杂度分为很多级别,因此企业工作人员所需具备的技术经验也相应地有所不同.
在大多数情况下,企业可升级其MAN或WAN,利用现有IT人员的技术经验,只需极少的培训.
当企业希望更有力地管理网络,承担通常由电信运营商担负的责任时,须进行更多IT培训,以成功部署和管理某一特定WAN技术.
当企业进一步升级其MAN或WAN时,评估迁移的短期和长期成本及优势是十分重要的.
在很多情况下,企业只需在设备、时间和IT人员方面稍作投入,即可从专有连接迁移到另一技术.
但在某些情况下,迁移可能需要在新设备和IT培训方面进行高额的短期投资,当然,从长期角度来看,这些投资可能会带来更大幅度的成本节约、降低运营开支并提高生产率.
——网络分区可帮助企业将物理上分立的多个网络整合为一个可进行逻辑分区的网络.
网络分区的优势之一是,它实现了更高程度的网络融合,通过缩减设备和维护、网络管理以及网络运营商费用,进一步降低了网络的长期总拥有成本.
安全性的提高则是另外一个优势,因为现在可方便地限制企业中的部门或职能机构所能访问的应用和数据.
此外,分区可简化外部网的建立,使业务合作伙伴能有限地接入公司网络.
分区还使企业可为合并一个外部网络作好准备,例如在发生公司收购时,可提高公司集成的速度,使所有用户都能安全地访问数据和应用.
在满足和保持法律法规符合性方面,如美国于1996年制订的健康保险流通与责任法案和Sarbanes-Oxley法案、英国的隐私和电子通信指令,以及欧盟的数据保护指令等,网络分区也正作为一种重要方法而得到更广泛的运用.
!
MAN/WAN思科企业MAN/WAN架构采用了一系列精心设计和优化的MAN和WAN技术,它们可互操作,形成一个互联系统.
它们可连接全球企业,支持高级应用,并提供可管理性,减少您网络扩展所需的时间和人员.
这些技术十分灵活,不仅能使远程用户和业务合作伙伴可以接入网络,而且可在您现有思科产品的生命周期内,方便地迁移到不同的MAN和WAN技术.
这可降低您网络的TCO,长期保护您的IT投资.
思科企业MAN/WAN架构包括以下技术:!
"#——加密专用连接充分利用了现有帧中继、ATM或其他连接,将其与强大的加密(数字加密标准[DES]、三重DES[3DES]和高级加密标准[AES])相结合,在连接站点时提供更高安全性.
此技术适用于扩展速度一般、未来数年内部署的新分支机构或远程机构相对较少的企业.
需要安全、专用、可靠的连接,以便符合信息保密标准,且需支持语音和视频等高级应用的企业,可受益于加密专用连接.
但是,这种技术的重复性运营商月费相对较高,并非是连接远程工作人员和远程呼叫中心业务代表的最优技术.
企业可选择加密专用连接来连接其较大的分支机构,选择IPVPN等其他技术来连接远程用户和较小站点.
图1显示了一条典型的加密专用WAN连接.
1!
"#$WAN52!
"#IPSec!
"#$%IPSecVPN——这些技术利用了公共和专用IP网络无所不在的特性.
强大加密标准(DES,3DES和AES)的运用使此WAN选项比传统专用连接更为安全,且符合政府以及医疗和金融等行业提出的许多新信息安全法规.
当在公共互联网上实施此技术时,最适用于需基本数据连接的企业;但如果需要支持语音和视频等对延迟敏感的高级应用,应在具有思科经过QoS认证的多服务IPVPN的、电信运营商的专用网络上部署IPSecVPN,以确保为支持语音和视频流量提供足够的QoS水平.
相对较低的运营商月费使此技术适用于需连接大量地理位置分散的远程工作人员、远程联系中心业务代表或小型远程机构的企业.
图2显示了一个典型的站点间IPSec部署.
3IPVPNWANIPVPN!
"#$%MPLS——基于网络的IPVPN在很多方面类似于专用连接,但灵活性、可扩展性和覆盖范围却有所提高.
它支持MPLS的IPVPN的任意到任意特性(任意分支机构可连接到任意分支机构),与其为语音和视频流量提供的全面QoS相结合,可满足许多企业的需求,特别是那些迅速扩展、将在未来几年增加许多新分支机构和远程机构的企业.
此技术提供了安全、可靠的连接和相对较低的运营商费用,使基于网络的IPVPN适用于希望使用一个托管服务解决方案来连接分支机构、远程机构、远程工作人员和远程呼叫中心业务代表的企业.
64VRFMPLS——自部署MPLS一般适用于愿意对网络设备和培训进行大幅投资的大型企业,以及IT员工能适应高技术复杂度的企业.
如果一家企业满足上述条件,希望全面控制自己的MAN或WAN,在多个地点增加分区,以保证提供特殊应用,那么即可选择自部署MPLSVPN.
利用它,分立网络间的安全水平可与专用连接相当,且无需电信运营商干预,能够统一、一致地对部门、业务职能和用户群组进行网络分区.
经常进行合并和收购的公司将受益于MPLS的任意到任意功能,在初始配置完成后,只需极少开销,即可将新办公地点-甚至已有网络的办公地点-合并到企业的整体网络中.
此外,也可建立安全的合作伙伴网络,来根据需要,有限制地共享数据和应用.
在达到并保持符合HIPAA和Sarbanes-Oxley法案等保密性标准法规方面,自部署MPLS也正作为一种重要方式而得到更广泛的采用.
简言之,此模式是"一个像电信运营商那样运行的企业".
图5显示了典型的自部署MPLS.
5!
"#MPLSMAN7!
"#$VRF——多VRF是VPN技术的扩展,有助于降低在传统WAN上正确划分网络流量的复杂性.
它是一种重叠技术,可与其他WAN技术,如专用连接、IPVPN和IPSecVPN等共用,来提供网络分区.
多VRF能以无缝、廉宜的方式,提高部门、业务职能和用户群组之间的保密性和网络安全性,此外,它还可帮助企业达到并保持符合HIPAA和Sarbanes-Oxley法案等保密性标准法规.
希望在现有网络上实施分区且不愿进行大额投入的企业将发现多VRF分区是一个极具吸引力的选项.
图4显示了一个典型的VRF部署.
表1总结了每种思科企业MAN/WAN技术的特性.
表1思科企业MAN/WAN技术!
!
!
"#!
WAN未内置较低较低较高支持较低较低IPSecVPN未内置一般较低较低需QoS或高带宽*较低较低IPVPN未内置较高较高较低需QoS或高带宽*较低一般!
"#$%MPLSVRF内置较高较高取决于传输情况支持一般一般MPLS内置较高较高取决于传输情况需QoS或高带宽*较高较高*在IPSecVPN上支持语音和视频流量的能力取决于传输技术所实现的QoS.
在将公共互联网用作WAN连接时,无法一直保证QoS,因此需为使用语音和视频通信的小型机构、远程工作人员和远程联系中心业务代表提供高带宽的宽带连接(>786kbps上行流量).
但如果IPSecVPN是在电信运营商的专用网络上建立的,且此专用网络采用了思科产品,具有思科经过QoS认证的多服务IPVPN,即可保证QoS足以支持语音和视频流量.
表2列出了思科企业MAN/WAN技术可如何在各行业中运用的示例.
表2思科企业MAN/WAN部署示例!
州政府和地方政府有数千家商店的全国性零售连锁店,每年新增若干商店有几百家工厂的家用和商用照明设备制造商!
MAN/WAN!
州医疗部与其他政府机构(负责收入、高速公路巡逻等)共同位于一条WAN连接上,该连接通过分区,服务于每个机构.
每个机构都可获得常用服务,如互联网、电子邮件和大型机等.
这些部门需要IP电话或视频会议应用(自部署MPLSMAN和WAN).
事件第一响应者(警察和消防部门)通过安全、专用的WAN连接相连,可在各部门间进行高度可靠的实时通信和协作(加密专用连接).
政府员工和移动员工都可使用笔记本电脑上的客户端软件,从远程地点访问信息和应用(互联网IPSecVPN).
通过借助分区服务于每个应用的一条WAN连接,零售商店可与总部相连,运行供应链和工资应用,以及与信用卡机构相连,处理POS交易.
为每个商店提供IP电话,采取集中呼叫控制部署(IPSecVPN).
零售商店与公司总部相连,运行库存、销售和工资应用,并通过借助分区服务于每个用户群组的一条WAN连接,为访客提供互联网连接.
商店和公司总部间需配备IP电话(采用多VRF分区的IPVPN电信运营商托管MPLS).
远程呼叫中心与公司数据中心相连,运行用于实时客户支持的IP通信和CRM应用(IPVPN电信运营商托管MPLS).
地区移动人员可使用笔记本电脑上的客户端软件,从远程地点访问企业信息和应用(互联网IPSecVPN).
工厂与公司总部、多个数据中心和其他工厂相连,可访问对业务关键的数据和应用,全面支持IP电话和视频会议及非IP协议(IPVPN电信运营商托管MPLS).
数据中心、公司总部和工程人员通过高速城域服务互联,实现了数据中心和应用的高可用性.
提供流视频等IP通信,以提高员工生产率(自部署MPLSMAN).
管理人员和移动员工可使用笔记本电脑上的客户端软件,从远程地点访问公司信息和应用(互联网IPSecVPN).
8!
"#思科企业MAN/WAN架构提供了集成化CoS、QoS、网络安全、可靠性和可管理性,可支持多种高级业务应用和服务.
以下简要介绍了思科企业MAN/WAN架构支持的部分集成服务和高级应用:!
思科集成安全充分利用了现有网络基础设施,无需部署更多硬件,即能通过CiscoIOS软件支持新安全特性.
因为这减少了网络中的设备数目、降低了培训和管理成本,因此节约了时间和资金,降低了整体TCO.
它可灵活地在网络中的任意地点部署安全功能——如防火墙、内部入侵防御和VPN,以确保最好地抵御安全威胁.
IPIP通信架构目前已部署到全球各地的企业中.
通过将现有语音和数据网络融合为一个基于IP的网络,企业能缩减设备和维护开支、网络管理成本和网络运营商费用,从而降低其网络总拥有成本.
融合网络还可增强机构的通信功能,更好地支持员工移动,为部署特性丰富的高级服务和架构提供坚实的基础.
除IP电话、统一消息传送和多通道联系中心应用外,此架构还有众多其他应用.
思科企业MAN/WAN架构提供了支持高度可用的企业级IP通信所需的QoS.
IP!
融合网络为公司提供了更为经济有效、易于部署的模式,使视频会议方便易行.
视频会议的主要优势在于它能节约差旅成本、减少因差旅而导致的工作中断,并为位于不同地点的人们提供更为丰富的通信形式.
使用一个带QoS的融合式IP网络,机构可为桌面提供视频会议和点播视频功能.
此技术的新用途包括远程学习——员工可在其闲暇时间浏览视频内容,而不必前往集中培训地点,以及分发关键企业信息,如董事会季度会议的最新内容.
IP视频架构还为现场的员工提供了一种与其在办公室中的同事进行实时、面对面交流的方法,从而为移动员工提供了进一步的支持.
思科企业MAN/WAN架构提供了支持企业级IP视频应用所需的QoS.
!
有几千家地理位置分散的医院的医疗服务供应商有数百个远程教学中心的大型私立大学有数千个营业网点的大型零售银行!
MAN/WAN!
医院安全可靠地相互联网,可访问数字图像、病人记录和医疗应用,全面支持IP电话和视频会议(加密专用WAN).
非当地诊所连接到医院远程诊所,可访问数字图像、病人记录、远程医疗应用,以进行远程病人诊断和医疗,全面支持IP电话和视频会议(IPVPN电信运营商托管MPLS).
半私立诊所连接到医院,可访问数字图像、病人记录和医疗应用,并可通过一条借助分区用于多项用途的WAN链路,连接到公共互联网(加密专用WAN).
医生可使用笔记本电脑上的客户端软件,从远程地点访问数字图像、病人记录和医疗应用(互联网IPSecVPN).
大学校园建筑物通过高速城域以太网连接互联,全面支持语音和视频应用,针对各系分区,以确保安全和提高可管理性(自部署MPLS).
远程教学中心连接到大学数据中心和教室,可访问管理性数据应用,全面支持IP电话和视频会议——电信运营商MPLS可支持视频会议(IPVPN电信运营商托管MPLS).
教职员工和学生可远程访问电子邮件和互联网(互联网IPSec或SSLVPN).
公司总部和地区营业网点连接到大型营业网点,全面支持语音和视频应用,针对各部门分区,以确保法规符合性(自部署MPLS).
远程呼叫中心连接到公司数据中心,运行用于实时客户支持的IP通信和CRM应用(IPVPN电信运营商托管MPLS).
小型营业网点连接到公司数据中心,使远程营业网点可访问对业务关键的数据和应用(加密专用WAN).
管理人员和移动员工可使用笔记本电脑上的客户端软件,从远程地点访问公司信息和应用(互联网IPSecVPN).
表2思科企业MAN/WAN部署示例(续)9!
"#$%思科企业MAN/WAN架构有助于支持思科广域文件服务(WAFS),能方便地将所有分支机构的数据整合到位于数据中心的中央文件服务器中.
思科WAFS使分支机构的用户在通过WAN访问集中文件时可获得类似LAN的体验.
籍此大大降低了TCO、以更少的管理投入增强了对分支机构数据的保护,且在WAN上提供了低延迟访问.
思科WAFS架构的优势包括:TCO——思科WAFS通过随时可用的设备在分支机构提供文件和打印服务,取代了分支机构中不可靠的磁带备份和文件服务器.
!
"#——在分支机构生成的所有文件的主拷贝会实时传送到数据中心,改进了对存储资源的保护、管理和使用.
!
"——IT管理员可集中管理文件服务,如使用率配额、备份、灾难恢复、访问控制和安全策略等.
!
"#$%&——思科WAFS延迟缩短技术为远程用户提供了类似LAN的访问性能,提高了用户生产率并支持分布式协作.
!
思科企业MAN/WAN架构支持思科应用和内容网络系统(ACNS)架构,它使分支机构中的员工能够可靠、高性能地访问关键任务应用和信息.
思科ACNS可通过成本避免、新运营效率和更高员工生产率,立即实现投资回报(ROI).
思科ACNS架构利用CiscoIOS软件服务,智能地提高了关键任务应用的性能和访问Web内容的安全性,同时为网络提供视频功能,以支持培训、业务通信,以及电子学习和POS视频等高级应用.
思科企业MAN/WAN架构提供了高度可用的安全连接,以支持这些最佳内容网络架构.
!
"#$!
"在过去几年中,业务和IT环境都发生了很大的变化.
尽管以前的业务成功标准仍然有效,但它们需要现在的厂商提供更为全面的解决方案.
除提供领先产品、服务和支持外,网络厂商必须在实施对客户业务最为重要的IT计划方面拥有出色历史记录.
当被问及如果从头开始构建一个网络,会选择哪个主要厂商时,94%的受访者都将思科作为其首选.
思科与其他大多数厂商的区别在于:广泛的产品和技术、出色的研发、与他人合作的意愿、拥有企业架构经验和成熟架构、提供全面的生命周期服务、业务遍布全球并拥有公认的领先地位、思科在产品开发方面采用了高度以客户为导向的方式,持续关注软硬件创新并注重全面客户解决方案的开发.
如需了解更多有关思科企业MAN/WAN架构的信息,请访问:http://www.
cisco.
com/go/wanman.
10!
FreseniusMedicalCare医疗!
为1300个远程诊所提供安全、可靠的连接增加每个诊所的带宽,提供高级应用实施安全措施,支持符合HIPAA和Sarbanes-Oxley的网络解决方案Cisco1841集成多业务路由器;Cisco7204和7206VXR路由器CiscoCatalyst6513交换机;CiscoAS5400通用网关;CiscoVPN3060集中器!
将应用性能提高2000%实施高级安全特性,以确保法规符合性用虚拟专用网连接取代了帧中继连接,从而降低了连接成本!
FreseniusMedicalCare是为肾衰竭患者提供产品和服务的最大集成供应商,目前全球有1300万人患有肾衰竭.
该公司的肾透析仪、透析器和相关的一次性产品运用于全球多家大型医疗机构,以及该公司在欧洲、拉丁美洲和亚太地区日益庞大的透析诊所网络.
通过28,000多名员工及其在北美日益扩展的拥有1,140家透析诊所的网络,该公司每年为90,000位患者提供大约1300万次透析治疗.
FreseniusMedicalCare致力于提供最高水平的患者护理、提高肾病患者的生命质量,并利用公司25年来积累的治疗数据,进一步推动对肾病的更为深入的了解.
为实现这些目标,FreseniusMedicalCare北美公司(FMCNA)采用了一项为期三年的计划,来实现治疗流程自动化、改进数据交流,并部署先进的新型医疗和管理应用.
公司决定实施一个医疗级网络,来取代其现有的网络基础设施,以支持此计划.
就在不久前,FMCNA还在使用一个帧中继网络,将每个独立诊所与其位于马萨诸塞州莱克星顿的总部相连,所有患者治疗记录、帐单和管理系统均位于总部.
每条帧中继连接大约支持10位用户,以56Kbps的速度运行,使医生查看患者病历和治疗方案的过程非常缓慢.
"帧中继网络阻碍了我们为诊所部署特性丰富的先进应用的进程",FMCNA的IT副总裁KurtLittlefield表示,"它无法为我们提供实现自动化和改进患者治疗这两个目标所需的灵活性和成本优势.
我们首先需要作的就是重建基础设施,为每个诊所提供更多带宽".
因为公司将通过收购而日益扩展,所以新的网络解决方案还必须易于管理和部署,以便Littlefield所率领的团队能快速扩展网络,来适应迅速变化.
在评估了其他厂商的设备之后,FMCNA最终选择了部署Cisco1841集成多业务路由器.
"思科设备提供了我们所需的功能,思科则提供了我们所需的支持",Littlefield解释道.
!
"#FMCNA正在每个诊所部署路由器——截止到2005年6月,总共1300个诊所中的400个已部署完毕.
这些路由器在单一永续系统中内嵌了数据、安全和无线技术,可快速、安全地提供关键任务型业务应用.
Cisco1841集成多业务路由器采用了内置虚拟专用网(VPN)功能,终结于莱克星顿FMCNA核心网络中的Cisco7400系列路由器上.
仍使用帧中继链路的诊所终结于Cisco7206VXR路由器上.
Cisco7206VXR路由器是业界部署最为广泛的通用服务路由器,适用于企业和电信运营商边缘应用.
Cisco7204路由器上终结了4条提供互联网服务的T3互联网连接,它们也与CiscoPIX535安全设备相连,提供了基于周边的防火墙安全.
交换网络核心由CiscoCatalyst(r)6513交换机组成.
CiscoVPN3060集中器支持大约900位远程用户,如移动医护人员等,使他们可从任意地点通过互联网查看电子邮件和文件.
!
FreseniusMedicalCare!
"#$%&'(VPN!
"#$%&'FreseniusMedicalCareCisco1841!
01101234Cisco1841'FreseniusMedicalCareITKurtLittlefieldCisco1841集成多业务路由器经过了优化,能以线速提供安全数据访问应用,使FMCNA诊所可高速访问患者信息和工作流程应用.
高速WAN接口卡(HWIC)支持到非对称DSL(ADSL)服务的连接,大大提高了带宽容量,此外,它也支持备用拨号连接.
利用90多种新增和现有接口模块,如HWIC、VWIC和VIC,支持范围广泛的连接选项.
"Cisco1841集成多业务路由器中的动态多点VPN,即DMVPN功能,对我们十分重要,因为它提供了接近无缝的可扩展性",Littlefield表示,"例如,如使用传统VPN技术来管理超过100个地点,会耗费大量资源,而按照我们的发展速度,未来将扩展到1000个地点以上,这将使它无法承受.
DMVPN功能简化了配置,允许我们动态创建分支间隧道并对其进行管理.
即使我们扩展到1500个地点,DMVPN也将帮助我们实现出色的管理.
"Cisco1841集成多业务路由器还支持思科自防御网络,提供先进的安全服务,如硬件加密加速;支持高级加密标准(AES)、三重数据加密标准(3DES)和DES的IPSecVPN;内部入侵防御(IPS);网络准入控制(NAC);以及URL过滤支持.
"内置的IPSecVPN和加密加速特性为我们带来了巨大的优势",Littlefield说,"VPN战略是我们连接各地点诊所的基础.
它不仅经济有效,而且更重要的是,它为主数据路径提供了稳定性、提供了拨号备份以及DMVPN灵活性.
我们使用3DES加密和验证,集中监控整个基础设施".
FMCNA也部署了思科安全访问控制服务器(ACS)解决方案引擎——一个高度可扩展的专用平台,通过结合身份验证、用户和管理员访问,以及集中身份联网框架提供的策略控制,提高了访问安全性.
凭借思科安全ACS解决方案引擎,FMCNA可管理用户对CiscoIOS路由器、VPN、防火墙、拨号和ADSL连接、存储、内容、IP语音(VoIP)、思科无线解决方案以及采用了IEEE802.
1X访问控制的CiscoCatalyst交换机的使用.
FMCNA已部署了CiscoIOS防火墙特性集,可帮助公司保持强大的安全状态,以符合HIPAA和Sarbanes-Oxley法规的要求.
利用CiscoWorksVPN/安全管理解决方案(VMS),FMCNA能满足其所有网络基础设施管理需求.
CiscoWorksVMS可帮助IT团队对公司的VPN、防火墙、入侵检测系统(IDS)和主机IPS进行配置、监控和排障.
CiscoWorksVMS还包括网络设备存档、变更审查和软件分发特性,有助于简化网络运行,缩短管理数千设备所需的时间.
!
Cisco1841集成多业务路由器提供了FMCNA需要的易部署性和可扩展性.
Littlefield率领的团队创建了安装指令,使医护人员无需技术支持,即可在收到路由器后方便地自行安装.
医护人员只需连接DSL调制解调器、路由器的板载调制解调器和电源线.
开机后,路由器会自动拨号本地ISP,接收自己的IP地址,与位于莱克星顿的核心网络通信,并可立即交换路由,与其他所有网络路由器建立联系.
"我们的医护人员体验到了将近2000%的性能提升",Littlefield表示,"我们将Web流量卸载到每个地点,在IPSecVPN隧道上仅传输公司流量,这大大提高了性能.
现在应用流量的传输速度可超过1Mbps——远高于56Kbps.
"备用拨号连接在发生WAN链路故障时提供了冗余性.
如果某一链路中断,Cisco1841集成多业务路由器中的集成调制解调器将直接拨号到一个CiscoAS5400通用网关库.
利用增强内部网关路由协议(EIGRP),路由器会首先查询莱克星顿是否提供连接,如果未找到连接,路由器随后使用最短路径优先打开(OSPF)协议拨号到CiscoAS5400系列通用网关,并连接到所需资源.
FreseniusMedicalCareNorthAmerica在实施医疗工作流程和管理流程自动化的计划的过程中,将继续在网络中部署Cisco1841集成多业务路由器.
实现自动化后,将取消目前基于书面的治疗流程,使医生能立即访问患者数据、过去的治疗记录和治疗方案.
治疗方案将更为具体,包括维他命剂量等,并能提醒工作人员.
最终Littlefield希望所有机构都能在一个集成无线局域网上运行,支持移动透析系统,使医护人员在病床边即可访问患者数据,提供全面的数据获取功能,以便在未来进行数据采集,并简化保险和计费管理.
整个自动化计划预计于2008年完成.
"我们从可扩展性、可管理性、处理能力和未来需求等多方面考察了我们的路由器决策",Littlefield表示.
"Cisco1841集成多业务路由器为我们提供了出色服务.
我们很高兴与思科合作,来继续使我们的股东、患者和利益相关者获益.
"12!
"#$思科医疗级网络是一个旨在满足医疗机构的信息、交流、医护和管理需求的网络.
医院、诊所、急诊服务提供公司和其他医疗供应商具有特殊的网络要求,通常包括:!
确保患者和治疗数据永续可用,以供会诊和治疗使用,这是一项重要需求.
思科医疗级网络一般包括:冗余路由路径在关键地点部署双平台经过优化的网络管理工具高业务连续性因为必须保护患者数据,以确保私密性,并符合HIPAA等法规,所以医疗级网络采用了一系列物理和逻辑安全措施,例如:加密和身份验证虚拟专用网(VPN)和IP安全(IPSec)特性入侵防御和检测功能防火墙功能!
高性能是医疗机构的核心需求之一,因为它们需要高网络带宽来为医护人员和管理员提供:对患者数据的迅速访问诊断图像的存储和传输无线通信和网络接入高度可用的、复杂的集成化医疗和管理应用在数据网络上经济有效地融合语音和视频服务,帮助医疗机构降低成本和简化管理在单一网络上融合语音、视频和数据功能,可支持创新的"远程医疗"应用,如远程诊断和治疗服务等.
!
"#如需了解更多有关思科路由解决方案的信息,请访问:http://www.
cisco.
com/go/routing.
如需了解更多有关思科交换解决方案的信息,请访问:http://www.
cisco.
com/go/switching.
如需了解更多有关思科安全解决方案的信息,请访问:http://www.
cisco.
com/go/security.
如需了解更多有关思科医疗解决方案的信息,请访问:http://www.
cisco.
com/go/healthcare.
如需了解更多有关FreseniusMedicalCare的信息,请访问:http://www.
fmc-ag.
com.
此客户故事是以FreseniusMedicalCare提供的信息为基础的,描述了该机构如何从思科产品部署中获益.
其所取得的成效和所获优势可能由多个因素造成;思科不保证在其他场合也能获得类似成效和优势.
13!
FirstNationalBankOmaha是FirstNa-tionalofNebraska的一个分行,它位于Omaba,是一个业务遍及多个州的股份公司.
FirstNationalBank已有130多年服务于Omaha及周边社区的历史.
FirstNationalofNebraska掌管着近130亿美元的资产,拥有7,000多名员工,为所有50个州的660多万客户提供服务,旗下的50多家银行分布于内布拉斯加、科罗拉多、堪萨斯、南达科他和得克萨斯.
银行业!
为客户和银行员工提供全新的扩展服务充分利用现有网络投资整合基础设施,避免重复设置,节省资金!
"#思科IP/MPLS是CiscoIOS软件中的一个组成部分,利用第三层VPN实现了多个传统第二层网络的整合.
思科集成多业务路由器为其营业网点和办公室提供了包括IP电话在内的全新多媒体服务.
FirstNationalBankOmaha在内布拉斯加拥有7,000个用户,在中西部的其他地区也有4,000多用户,它是FirstNationalofNebraska的一个分行,后者是最大规模的银行股份公司之一,总部位于密西西比河西岸.
随着公司银行网络的不断发展,专用、非标准的解决方案也日益增多,从而增加了管理的复杂度、基础设施的重复现象和成本.
!
"VPN!
"#2004年第三季度,银行首席技术执行官Hardie("Pat")Nunley及其下属开始寻找替代方案.
"我们拥有许多专用的传统网络,如ATM、帧中继和TDM,其维护和管理费用非常高",Nunley说,"而且陈旧的基础设施也妨碍我们达成其他目标,包括部署高级安全特性,如入侵防御和IP电话.
"IP/MPLS!
思科建议FirstNationalBank部署多协议标签交换(MPLS),从而以最低的新资本投入,充分发掘现有网络投资的潜能,实现其既定目标.
思科IP/MPLS是CiscoIOS软件中的一个重要特性,具有多项优势,可简化虚拟专用网络(VPN)的部署、管理和灵活性.
当采用第二层VPN时,银行必须在各个站点间建立永久虚拟线路,部署和维护既耗资又耗时.
相比之下,采用第三层IP/MPLSVPN,虚拟线路可在IP网络上集中配置.
思科IP/MPLS基础设施可以利用IP地址中的信息,在第三层"无连接"网络中建立任意到任意链接,以取代虚拟线路的星形连接.
借助IP/MPLS,网络核心中的路由器只需为分组分配一次最理想的转发路径.
在网络核心中,分组进行交换而非路由.
网络交换机按照标签为分组搜寻预先确定的转发路径.
在完全基于IP的核心中,在每一跳时路由器都必须从各个分组中提取转发信息,并将其作为路由表的查寻索引.
借助IP/MPLS,思科边缘标签交换路由器只需处理分组报头一次,简化了骨干交换机的工作.
用于加速网络骨干分组交换的标签报头也可用于将银行流量划分到多个安全VPN中.
FirstNationalBank利用IP/MPLS完成了第二层VPN的整合,并从中央基础设施对其进行调整和管理.
"以前,我们采用的办法是构建并行网络",银行首席企业架构师KrisLappala说,"因此,需要构建网络并将其部署多次.
在使用MPLS后,我们只需运行一个系统,且同时可保持VPN的隔离.
""选择思科MPLS是我们总体重组项目中的一个部分,我们计划对多个网络层进行精简,整合服务器",Nunley表示,IBM和AT&T也参与了这个项目,思科专门负责网络互联.
"多年来的经验使我们对思科和CiscoIOS具有极大的信心",FirstNationalBankOmaha网络服务主管BrettBock说,"凭借其服务质量特性,思科已将管理从一种艺术形式发展成了一门科学.
"!
"#$%VPN最初,位于Omaha大区的17家营业网点将各自拥有其自身的VPN,FirstNationalBank的主园区将为分布于40个楼层的各个部门配备独立的VPN.
此外,网络和服务器服务,如网络时间协议(NTP),也都将部署各自的VPN.
银行将为营业网点配备T1线路和高级数据链路控制(HDLC)连接.
营业网点将通过运营商基础设施上的MPLS云连接到新网络.
银行购置了10台配备了SupervisorEngine720的CiscoCatalyst6509系列交换机,以便对核心进行更深入的优化.
另外,还购置了1台Cisco7200系列路由器,作为FirstNationalBank数!
FirstNationalBankOmaha!
IP/MPLS14据中心的广域网(WAN)汇聚点,17台Cisco2800-3800系列集成多业务路由器用作IP语音网关.
银行将首先为Omaha的营业网点部署500部思科IP电话.
然后,还将为Omaha地区及其他地区的总部及营业网点部署更多IP电话.
银行构建了与现有网络并行的MPLS基础设施,定于2005年春在第一家营业网点投入运行,并于夏季完成总部和其他营业网点的IP/MPLS网络迁移.
到2005年底,银行计划完成所有营业网点的迁移工作,并取消所有遗留的点到点网络解决方案.
!
"MPLS$NunleyIBMAT&T!
"#$!
"#$%&'(FirstNationalBankOmaha!
"#$HardiePatNunleyKrisLappalaMPLSVPN!
"FirstNationalBankOmaha!
"#$KrisLappala!
"MPLSIBMAT&T!
"#FirstNationalBankOmaha!
"#$HardiePatNunleyCiscoIOS!
"#$%&FirstNationalBankOmaha!
"#BrettBock!
"#$%&'(01FirstNationalBankOmaha!
"#BrettBrock!
"思科IP/MPLS网络为每台交换机和路由器提供了中央集成管理.
新服务的部署十分简便,而且可集中管理,并按类归入新的VPN.
根据银行对客户要求的预期,这些新服务包括访客能通过营业网点和客户服务亭的无线接入点接入互联网等,这远优于自动取款机所能提供的服务.
从网络的角度,利用IP/MPLS配置新服务,所需要做的只是创建一个新VPN,并配置VPN路由/转发实例(VRF).
VRF由一个IP路由表、由此而生成的一个转发表、一组使用转发表的接口,以及一系列用于确定哪些信息应列入转发表的规则和路由协议组成.
VRF也包括路由信息,以确定边缘路由器连接的客户VPN站点.
集中管理使FirstNationalBankOmaha的防火墙数量从原有的近90个减少到不足10个.
利用IP/MPLS,银行可以创建映射至与地理位置无关的DMZ的VRF,并将它们链接至单一地点,从而实现防火墙管理的整合.
由于实现了所有应用的集中部署、配置和管理,银行采用思科IP/MPLS的决策,极大地简化了架构的发展进程.
它还为管理所有网络服务的可扩展性和高可用性,提供了一个更加集成化和集中化的平台.
!
"#如需了解更多有关思科IP/MPLS的信息,请访问:http://www.
cisco.
com/en/US/netsol/index.
html151!
"#$%!
Cisco7200VXRWANMAN!
"#$%Cisco7200与五年前相比,业务应用的实施在今天更加迅速、频繁.
随着业务需求的迅猛发展和技术的不断进步,网络已从一个基本的连接设施发展成可以提供多种服务的平台.
全新的Cisco7200VXR路由器产品提供了安全的WAN和城域网(MAN)服务汇聚功能,顺应了这一发展趋势.
凭借两倍的路由汇聚性能和三倍的IP安全(IPsec)VPN性能,以及可用带宽和端口适配器插槽容量的显著提高,最新型的Cisco7200VXR路由器使客户可以将新服务汇聚与广泛使用的WAN汇聚平台相结合,无需全面升级和大幅度修改网络设计.
Cisco7200VXR!
"#$%&'Cisco7200VXR服务汇聚路由器是思科自防御网络(SDN)的一个重要组成部分,后者是一个战略性的系统安全方案,利用网络来识别、防御和应对内部和外部威胁.
企业服务需要持续性的连接,要求网络保持安全、可用.
Cisco7200VXR路由器通过提供以下特性,可在这方面发挥重要作用:WANVPN可扩展连接和IPsec加密!
"#$周边防御、入侵防御和基于身份的访问控制!
"网络可用性和无中断服务图1对思科服务汇聚路由器的功能进行了介绍.
WANMAN!
CISCO7200VXR!
"#$%&'全新Cisco7200VXR路由器产品(图2)提供了OC-3速率的WAN和MAN服务汇聚,将低廉价位、出色可扩展性、性能和灵活性等优势汇集于一身.
更安全的服务与数据、语音和视频路由实现了同步运行,使公司可将持续、全面的全服务应用于整个网络,并构建自防御网络.
16Cisco7200VXRNPE-G2!
"#$%以OC-3/千兆以太网速率提供多服务,使性能提高一倍本地安全IP组播,无需重叠网络投资保护:支持全部CiscoIOS软件特性;通过模块化引擎扩展已安装机箱或新机箱的价值Cisco7200VXRVPN!
"配备NPE-G2,使性能提高了三倍,可以支持大规模IPsec汇聚架构CiscoIOS软件安全VPN连接:3DES、AES(128、192和256位密钥加密)安全的市话质量语音、视频和数据:支持语音和视频的VPN(V3PN)、动态多点VPN、服务质量(QoS)、压缩实时协议(cRTP)、资源预留协议(RSVP)等IPsec虚拟隧道接口(VTI),可简化VPN设计和配置Cisco7200VXR!
"#$带宽和插槽容量提高50%I/O插槽现可用于添加第七个端口适配器高性能端口适配器提高了吞吐率CiscoIOS!
"#CiscoIOS软件为整个思科安全路由器产品线提供了一致的集成安全服务,其范围从Cisco800系列路由器和Cisco1800、2800和3800系列集成多业务路由器(ISR),直至Cisco7200系列路由器和Cisco7301路由器.
下面列举了配备CiscoIOS软件AdvancedSecurity特性集的Cisco7200VXR路由器所支持的部分高级安全服务.
IPsecVPN硬件加速AES(广密钥)、3DES和DES.
!
VPN通过按需分支间隧道,提供了可扩展的全网状VPN,降低了语音和视频的延迟和抖动,提高了吞吐率,简化了配置,改变了管理模式.
EasyVPN:支持各种规模的部署,无需用户参与(例如,当添加额外设备时,无需改动终端),在所有远程设备上实施一致的VPN策略.
IPsecVTI可简化部署.
!
"#$MPLSVPN包括重要的特性,如虚拟路由转发(VRF)感知防火墙和IPsec,使部门、子公司或客户分区,并将多个环境整合到一个VRF中,从而简化MPLSVPN部署.
!
"包括第五至七层应用防火墙和控制,以及第三、四层状态化策略过滤和基于用户的策略实施.
HTTP检测引擎可控制对端口80的误用.
电子邮件检测引擎可控制电子邮件协议的误用.
CiscoIOS!
"#IPS防御蠕虫和病毒攻击;内部运行可防范入侵.
思科事件控制服务器允许CiscoIOSIPS对发生的威胁迅速作出响应.
!
通过CiscoV3PN、动态多点VPN、QoS、cRTP和RSVP,为VPN语音、视频和数据提供了安全的市话质量性能.
!
"#包括实现路由器最高可用性的主要机制:单键式设备锁定(AutoSecure)、路由处理器对拒绝服务(DoS)攻击的防御(控制平面监管[CPP])、安全管理接入(例如,SSHv2)、零日攻击检测和安全事件分析(NetFlow、IPSourceTracker和系统日志).
SDM直观的基于Web的管理工具,每台Cisco7200VXR路由器均配备.
!
"#$Cisco7200系列路由器将服务汇聚扩展至各种规模的企业,并对最佳企业路由重新进行了定义,可安全、并发地提供数据、语音和视频.
!
"#如需了解更多信息,请访问http://www.
cisco.
com/go/7200和http://www.
cisco.
com/go/routersecurity.
2Cisco7200VXR17!
Cisco7200VXR!
"#$%&NPE-G2为了满足新应用的要求,网络必须不断发展,并保证关键信息和资源的安全.
Cisco7200系列拥有高性能的网络处理引擎NPE-G2,所提供的性能和灵活性,可充分满足这些网络要求.
通过升级至NPE-G2,目前拥有7200VXR机箱的客户可以极大地提高网络性能,保护其机箱和线卡投资.
利用极具吸引力的折价信用点,采用非VXR机箱的客户可以升级至带NPE-G2的全新7200VXR机箱.
同时,客户可以继续使用其现有的接口卡.
除了高性能外,Cisco7200VXR系列和NPE-G2还拥有许多显著的增强特性,为客户提供了优势.
Cisco7200VXRNPE-G2!
"1.
作为最强大的单处理器平台,提供了出色的性价比2.
在从总部到分支机构的WAN上扩展至多个并发连接应用3.
VPN加速器模块VAM2+提供了最高VPN汇聚性能4.
利用最新CiscoIOS安全特性,提高了公司网络内外部安全5.
与NPE-G1相比,处理性能提高了一倍6.
凭借NPE-G2上的3个千兆以太网/快速以太网端口降低了成本7.
通过标准的1GBDRAM提供了最大的DRAM内存8.
可继续利用现有端口、服务适配器和电源,保护了投资9.
由于集成入NPE-G2,无需单独的输入/输出控制器10.
利用7200VXR和NPE-G2上的CiscoIOS新版本支持最新特性,通过更换非VXR机箱和产品寿命终止或接近终止的陈旧的网络处理引擎(NPE),延长了使用寿命表1配备NPE-G2的7200VXR:更高的性能和连接能力NPE-G1NPENPE-G1NPE-G2最高400Kpps最高1Mpps最高2MppsLAN无3个千兆以太网端口3个千兆以太网端口和1个10/100以太网管理端口!
"I/O需要不需要不需要!
"因NPE而不同所有VXR机箱所有VXR机箱DRAM最大512MB(NPE-400)最大1GB1GBDRAM256MB(NPE-400)256MB1GB!
128MB(在I/O控制器上)256MB256MB!
64MB(在I/O控制器上)64MB256MB表2迁移路径!
!
Cisco7204机箱(非VXR)CISCO7204VXR,CISCO7206VXR或在Cisco7200系列捆绑表中列举的捆绑Cisco7206机箱(非VXR)CISCO7206VXR或在Cisco7200系列捆绑表中列举的捆绑NPE-100,NPE-150,NPE-175,NPE-200,NPE-G1或NPE-G2NPE-225,NPE-300,NPE-400,NSE-1NPE-G1NPE-G218表3Cisco7200系列捆绑!
"#SKU7206VXR/NPE-G2配备NPE-G2的7206VXR,包括3个GigE/FE/E端口,交流电源和CiscoIOSIPPlus软件;256M闪存,1GBDRAM.
7206VXR/NPE-G1配备NPE-G1的7206VXR(包括3个GigE/FE/E端口)、交流电源和CiscoIOS_IPPLUS软件;缺省内存:64MB闪存,256MBDRAM.
7206-IPV6/ADSVC/K9Cisco7206VXRIPv6捆绑,配备IOSAdvancedEnterpriseServices和NPE-G2C7206VXR/400/2FE配备NPE400的7206VXR,I/O控制器(包括2个FE/E端口),交流电源和CiscoIOSIPPLUS软件;缺省内存:64MB闪存,256MBDRAM.
C7206VXR/400/GE配备NPE-400的7206VXR,GE+EI/O控制器,交流电源和CiscoIOSIPPLUS软件;缺省内存:64MB闪存,256MBDRAM.
7206VXRG1/2+VPNK9配备NPE-G1的7206VXR,VAM2+,交流电源,安全设备管理器和CiscoIOSIP/FW/IDSIPSEC3DES软件;缺省内存:64MB闪存,512MBDRAM.
7206VXR400/2+VPNK9配备NPE-400的7206VXR,VAM2+,交流电源,安全设备管理器和CiscoIOSIP/FW/IDSIPSEC3DES软件;缺省内存:64MB闪存,512MBDRAM.
C7206VXR/VOICE/400配备NPE-400的7206VXR,语音端口适配器PAPA-VXC-2TE1+,I/O控制器,带2个FE端口,交流电源和CiscoIOSIPPLUS软件;缺省内存:64MB闪存,256MBDRAM!
CISCO7206-BB配备NPE-G1的7206VXR机箱(包括3个GigE/FE/E端口),交流电源和CiscoIOS软件IPPLUS19!
"#$%&'!
"#Cisco7200!
"#Cisco7301与五年前相比,业务应用的实施在今天更加频繁、迅速.
随着业务需求的迅猛发展和技术的不断进步,网络已从一个基本的连接设施发展成提供服务的平台.
思科集成路由器安全拥有全面、经济有效的安全服务,它智能地内嵌了路由和安全功能,可以快速、可扩展地提供关键任务业务应用.
为顺应这一发展趋势,思科系统公司为提供WAN和城域网(MAN)服务汇聚,而推出了Cisco7200系列路由器产品.
凭借两倍的路由性能和三倍的IPsecVPN性能,以及可用带宽和端口适配器插槽容量的显著提高,Cisco7200系列路由器可以满足最新的服务汇聚要求,无需全面升级和大幅度修改网络设计.
通过将CiscoIOS软件功能、WAN和MAN服务汇聚与网络安全特性相结合,Cisco7200系列路由器和Cisco7301路由器为客户提供了下列优势:在单一网络平台上汇聚站点间和远程接入VPN,简化运营,降低培训成本.
提供高级安全功能,包括检测和响应针对公司服务器和其他资源的分布式拒绝服务(DDoS)攻击.
在边缘路由器中植入高水平永续性,使其即使受到攻击也保持可用.
企业总部越来越需要在全球扩展WAN/MAN服务,同时又要避免安全、性能和关键网络正常运行时间受到威胁.
集成架构方式可以在满足这些要求的同时,降低成本.
面向企业总部的思科集成路由器安全提供了全套安全服务,可以将企业资源安全地扩展至远程站点、业务合作伙伴、远程工作人员和移动工作人员.
!
Cisco7200系列路由器和Cisco7301适用于大中型企业机构,为连接远程机构、移动用户和合作伙伴外部网提供了丰富的集成安全解决方案.
为使Cisco7200系列路由器实现最高的IPsecVPN性能,思科VPN服务适配器(VSA)可提供三倍于思科VPN加速模块VAM2+的加密性能.
这两种产品都为IPsecVPN应用提供了高性能的加密和密钥生成服务,是思科安全捆绑产品中不可或缺的一个组成部分.
Cisco7200系列路由器和Cisco7301路由器适用于企业总部,它们结合了多种安全特性和高级网络服务,提供了灵活的集成方式,可以充分适应各种网络环境.
!
"#$Cisco7200系列路由器和Cisco7301路由器是思科自防御网络(SDN)的组件,SDN是一项使机构可以识别、防御和应对网络安全威胁的战略.
思科自防御网络是在思科集成安全、思科协作安全系统和思科自适应威胁防御(ATD)基础上构建的,以思科网络平台保护(NFP)作为底层支持架构.
思科SDN集成安全特性为网络安全带来了革命性的转变,它使包括路由器、交换机、设备和终端在内的每个网络组件都变成了防御点.
思科集成安全特性使路由器成为保护网络安全的关键设备,其核心组件包括思科安全连接、思科ATD,以及思科信任和身份识别.
!
"#——该特性提供了安全、可扩展的网络连接,适用于各种类型的流量,包括IPsecVPN、动态多点VPN(DMVPN)、EasyVPN、支持语音和视频的VPN(V3PN)和高度安全的语音.
ATD——该特性可以防御和响应利用网络服务的网络攻击和威胁,包括NetFlow、CiscoIOS入侵防御系统(IPS)和CiscoIOS防火墙.
!
"#$%&——该特性使网络可利用验证、授权和记帐(AAA)、公共密钥基础设施(PKI)和基于802.
1x的身份识别服务等技术,智能地保护终端.
思科SDN协作安全系统可以使安全变为一个覆盖整个网络的系统,包括终端、网络和策略.
这其中包括网络准入控制(NAC)等解决方案,经由多项服务和设备相互协作,通过主动管理来抵御攻击.
20通过在多个层次动态防御威胁,思科SDNATD实现了对网络流量、终端、用户和应用的更强有力的控制,进一步将安全风险降至最低限度.
它还将服务整合至较少的设备,从而简化了架构设计,降低了运营成本.
这一创新方案在高性能解决方案中结合了安全的多层智能;应用保护;网络级控制;以及威胁隔离等.
ATD的重要组件包括:通过Anti-X防御、应用安全,以及网络控制和隔离,能更出色地、协调地进行威胁防御.
思科NFP是思科SDN的一个常用组件,可保护网络基础设施免受攻击和漏洞的威胁,尤为适用于网络级.
它包括控制平面监管、基于网络的应用识别(NBAR)和AutoSecure等.
Cisco7301Cisco7200Cisco7301和Cisco7200系列路由器用于提供安全服务,独特地结合了多种软硬件安全特性.
为在Cisco7200系列路由器和Cisco7301路由器上支持网络安全特性,提供了下列CiscoIOS软件特性集:AdvanceSecurityAdvancedIPServicesAdvancedEnterpriseServices如需了解更多有关如何选择相应特性集的信息,请访问:http://www.
cisco.
com/en/US/products/hw/routers/ps352/prod_bulletin0900aecd802d2ed0.
htmlhttp://www.
cisco.
com/en/US/products/hw/routers/ps341/prod_bulletin0900aecd802d2ec7.
html表1列出了这些路由器的部分硬件安全特性.
表1Cisco7200系列和Cisco7301路由器安全捆绑的硬件安全特性表2列出了Cisco7200系列路由器和Cisco7301路由器的集成安全特性和优点.
在补充性的Cisco800系列路由器及Cisco1800、2800和3800系列集成多业务路由器中也提供了其中的部分特性.
本文为列出的大多数特性提供了连接到更多信息的超级链接.
表2Cisco7200系列路由器和Cisco7301路由器的主要集成安全特性和优点Cisco7206NPE-400Cisco7206NPE-G1Cisco7301Cisco7206NPE-G2!
!
!
!
VPNDES3DESVAM2+VAM2+VAM2+VSAAES128192256(包括)(包括)(包括)(包括)!
WebVPNIPsecCiscoEasyVPNRemoteServerDMVPNV3PN!
"#VTI!
VPN!
"VRF!
"#MPLS!
!
/!
!
CiscoIOSWebVPN仅利用Web浏览器及其本地SSL加密技术,使远程用户可通过标准公共互联网安全地访问公司资源.
该特性提供了点到点IPsec和高级VPN加密加速功能(DES,3DES,以及AES128、192和256).
通过将新安全策略主动从单一头端推送到远程站点,该特性简化了点到点VPN的管理.
DMVPN为在分支机构间构建虚拟的全网状IPsec隧道提供了一种可扩展的灵活方式.
在添加新的分支时,无需在中心进行配置.
V3PN可以在VPN上为任意地点提供经济有效的数据、语音和视频集成服务.
该特性简化了VPN的配置和设计.
安全组播将GDoI与IPsec加密相结合,使用户可高效地保护IP组播流量安全.
该特性支持在分支机构设立多个独立的环境(编址、路由和接口),以隔离部门、下属机构或客户.
所有环境可共享一条到核心的上行链路连接(例如IPsecVPN、帧中继或ATM),并继续保持相互间的安全隔离.
是在安全网络基础设施中注册新远程节点的一种简单且功能强大的机制.
凭借IPsec状态化故障转换和带反向路由注入(RRI)的热待机路由器协议(HSRP)等选项,思科VPN可以为部署冗余性和负载均衡提供许多特性.
21表2Cisco7200系列路由器和Cisco7301路由器的主要集成安全特性和优点(续)!
NetFlow!
"#$%&'RTBHCiscoIOSVRF!
"!
"!
"#$%!
!
"#$%&URLCiscoIOSIPSIPS!
"#$!
"#$%&802.
1xCiscoIOS!
"#$%&AAA!
"#$NACNFP!
"#AutoSecureNBARCPU!
"SSHv2SNMPv3!
"CLI!
SDMNetFlow可根据异常流量检测DDoS攻击,并提供有助于跟踪攻击来源和针对攻击实时作出响应的数据.
该特性利用一组IP路由特性,提供了针对DDoS攻击的线速、实时防御功能.
CiscoIOS防火墙是一种理想的单一设备安全和路由解决方案,可保护网络的WAN入口.
目前它提供IPv6支持.
防火墙目前包括在针对VRF部署的独立环境级别的可用服务列表中.
将现有网络部署分隔成多个安全信任区域,无需更改地址.
支持子接口和VLAN端口汇聚.
该功能允许将物理和虚拟接口按区域分组,以简化逻辑网络拓扑结构.
这些区域的建立使防火墙策略可按区域实施,无需再为各个接口分别配置策略.
利用HSRP,防火墙状态化故障转换功能实现了两个路由器在防火墙功能方面的主用/备用故障转换.
利用检测引擎来实现协议符合性,防止恶意或未授权行为的发生,如端口80隧道化或电子邮件连接误用.
实现了CiscoIOS防火墙与Websense或N2H2URL过滤软件的互动,可以根据公司安全策略,防止用户访问某些特定的网站.
CiscoIOSIPS提供了一个基于深层分组检测的内部解决方案,与CiscoIOS软件相结合,可以有效地防御网络攻击.
它可以丢弃流量,发送报警,进行本地规避或重新设置连接,使路由器迅速对安全威胁作出反应,保护网络.
可为第二层连接提供第三层IPS标准802.
1x应用需要有效的接入证书,使对受保护信息资源的未授权接入和不安全的无线接入点的部署更加困难.
该特性使路由器可成为网络上的证书授权方.
AAA使管理员可以在每条线路(每位用户)或每项服务(例如IP、IPX或VPDN)的基础上,动态配置验证和授权的类型.
NAC只准许符合接入和安全策略的信任设备接入网络,可以防止病毒和蠕虫在网络中的传播.
该特性对进入控制平面的流量输入速率进行监管,降低了DDoS攻击的成功率,即使在遭受攻击的情况下也可保持网络的可用性.
AutoSecure简化了路由器安全配置,降低了配置错误风险.
CiscoIOS软件中的这种分类引擎可以识别广泛的应用类型.
当识别出应用后,网络可以根据该应用激活特定服务,并提供相应的控制.
通过预留CPU和内存,该特性使路由器能在攻击等生成高负载的情况下保持运行.
SSHv2使操作员可以安全地接入包括验证和加密在内的设备.
SNMP为客户应用提供了安全的、基于标准的设备管理和控制功能.
该特性可基于视图来使用命令行界面(CLI)命令,支持网络运营、安全运营和终端用户间路由器的高度安全的逻辑隔离.
这一直观、易用、基于Web的设备管理工具内嵌于CiscoIOS软件接入路由器中,可以利用HTTPS和SSH远程接入.
22!
CiscoIOSWebVPNCiscoIOSWebVPN是一种基于路由器的解决方案,在一个融合式数据、语音和无线平台上,提供了SSLVPN远程接入连接,以及与安全特性和业界领先的路由特性的集成.
利用SSLVPN,公司可以安全、透明地将其网络扩展至任意支持互联网的地点.
CiscoIOSWebVPN支持对应用的无客户端接入,其中应用包括基于HTML的内部网内容、电子邮件、网络文件共享、Citrix和CiscoSSLVPN客户端等,实现了几乎包括所有应用在内的完全网络远程接入.
作为WebVPN的一部分,思科安全桌面甚至可为非公司设备提供数据防盗功能.
思科路由器和安全设备管理器(SDM)简化了WebVPN部署,并可对SSLVPN连接的实时监控和管理.
IPsecVPN!
"#VPN一直是一种发展迅速的网络连接形式,随着VPN应用的日趋广泛,对其性能、扩展和特性的要求也在不断增长,尤其在企业总部的快节奏环境中就更为突出.
对于这些要求严格的网络环境来说,最适合的解决方案一般是能够汇聚远程接入和站点间VPN,并可提供多种安全服务的单一设备.
Cisco7200系列路由器和Cisco7301路由器安全捆绑拥有基于硬件的加密加速功能,可以卸载IPsec、AES、DES和3DES加密以及VPN流程,以对路由器CPU最小的影响,提供更高的VPN吞吐率.
Cisco7200系列路由器和Cisco7301路由器安全捆绑中的VAM2+和VSA的主要特性包括:加速硬件DES、3DES和AES(128、192和256)加密算法.
支持Rivest,Shamir,Aldeman(RSA)算法签名和Diffie-Hellman,用于身份验证.
将SHA-1或MD5散列算法用于数据完整性检验.
通过VPN加密模块(仅限VAM2+)支持硬件中的第三层(IP负载压缩协议[IPPCP])压缩.
总部办公场所通常是一个大型、复杂的环境,网络需求的范围很广.
网络永续性对其至关重要.
配备通用路由封装(GRE)隧道的IPsec可以在VPN上发送动态路由协议,因而提供了比纯IPsec解决方案更高的网络永续性.
除了利用GRE和IPsec提供故障转换以外,企业客户还可支持非IP协议,如AppleTalk和NovellIPX.
EasyVPN对于需要简单、高扩展远程接入的客户,思科提供了EasyVPN解决方案,它利用"策略推送"技术简化了配置,并保留了丰富的特性和策略控制功能.
EasyVPN服务器由总部定义,可将安全策略推送至远程VPN设备,以确保它们在连接建立前及时拥有最新的策略.
EasyVPN提供了下列优势:EasyVPN支持硬件(接入路由器)客户端设备(CPE)和使用相同中央站点路由器的软件远程接入客户端.
思科VPN客户端软件可以安装在PC、Mac和UNIX系统上,为基于路由器的VPN提供远程接入连接,无需额外的成本.
由于为硬件CPE和软件客户端采用了统一技术(EasyVPN),实现了配置、监控和AAA服务的简化和整合,降低了总拥有成本.
EasyVPN为CPE路由器和单独的用户提供了基于路由器的验证,以及集中的RADIUS和AAA验证选项.
基于标准802.
1x的验证也可用于各个CPE地点的主机验证.
EasyVPN提供了数字证书,利用预共享密钥提高了安全性.
针对多个中央地点EasyVPN集中器的负载均衡可以自动将负载分配至多个EasyVPN服务器.
通过将备份集中器信息策略推送至CPE,公司可以扩展解决方案,无需重新配置CPE.
虚拟的EasyVPN服务器使电信运营商能够利用单一平台为多个客户提供VPN服务.
EasyVPN提供了全面特性集成,包括动态服务质量(QoS)策略分配、防火墙和IPS、分离隧道、思科服务保证代理,以及NetFlow,用于监控性能.
思科SDM提供了基于向导的EasyVPN快速部署,与AAA、防火墙集成,并可对远程EasyVPN客户端进行实时图形监控.
所有思科VPN产品线都支持EasyVPN,包括:CiscoIOS软件、思科PIX(r)防火墙和CiscoVPN3000系列集中器.
DMVPN思科路由器拥有DMVPN功能.
思科DMVPN支持按需、可扩展的全网状VPN,不仅缩短了延迟、节约了带宽,还可简化VPN部署.
DMVPN特性是在思科IPsec和丰富的路由经验的基础上建立的,支持GRE隧道动态配置、IPsec加密、NHRP、OSPF和EIGRP.
DMVPN的优势在企业总部得以充分展现,在总部,VPN隧道的动态配置,与QoS和IP组播等技术相结合,可优化语音和视频等时延敏感型应用.
DMVPN还减轻了管理负担,当添加新的分支或设置分支间连接时,无需在网络中心进行配置.
V3PNV3PN提供了一种VPN基础设施,能在高度安全、支持QoS的IPsec网络上融合数据、语音和视频,使客户在使用IP传输网络时,能安全、高效地获得与他们使用WAN链路时相同的语音和视频应用性能.
不同于许多VPN设备的是,Cisco7200系列路由器和Cisco7301路由器能支持多种网络拓扑结构和流量需求,实现多服务IPsecVPN.
通过将支持思科安全特性的路由器与CiscoIOS软件相结合,V3PN的端到端网络架构保障了语音流量的安全.
23VTI作为安全WAN连接的主流解决方案,VPN的地位日益受到市场的认可.
它们正取代现有专用网络或对其构成补充,使这些利用租用专线、帧中继或ATM的网络,以更经济有效、更灵活的方式,将远程和分支机构与中央站点相连.
这一全新的局面要求VPN设备能够提供更高的性能,支持LAN和WAN接口,实现网络高可用性.
思科IPsecVTI是一种新型工具,客户可用它配置站点间设备间基于IPsec的VPN.
它为终结IPsec隧道提供了可路由的接口,简化了配置.
思科IPsecVTI隧道在共享WAN上提供了一条指定路径,并为流量封装了新的报头,以确保传输到特定目的地.
此网络是专用的,因为流量只能通过终端进入隧道.
另外,IPsec也像加密功能一样提供了保密机制,可以传输加密流量.
凭借思科IPsecVTI,企业可以全面利用经济有效的VPN,并继续向其数据网络添加语音和视频服务,且不影响质量和可靠性.
这项技术为站点间VPN提供了高度安全的连接,它可与思科AVVID(集成语音、视频和数据架构)相结合,在IP网络上提供融合的语音、视频和数据.
!
安全组播是一项基础技术,结合了密钥协议GDoI与IPsec加密功能,为保障IP组播流量安全提供了一个有效的方法.
它使路由器将加密技术应用于非隧道化(即"本地")IP组播报文,由于无需配置独立隧道,提高了工作效率.
封装IP组播分组使IP组播路由(例如,PIM)能够传输加密报文.
本地IP组播封装还可避免在单播隧道中经常发生的过多的分组复制.
安全组播适用于多种应用,如对卫星链路上发送的IP包的加密、音频会议加密、安全的实时内容复制和DMVPN等.
!
"#$%&'VRFMPLS!
多VRF也称为VRF-Lite,能在相同物理路由器中配置和维护多个路由和转发表实例.
通过与以太网VLAN技术和帧中继等WANVPN技术相结合,它可利用一个物理网络配置若干逻辑服务,从而将专用和安全功能扩展至客户边缘.
一台配备多VRF的思科路由器可以利用重叠IP地址支持多家公司,并保持数据、路由和物理接口间的隔离.
如需了解更多有关多VRF的信息,请浏览产品公告.
思科VPN支持多种用于部署冗余性和负载均衡的特性.
对于规模较小的头端IPsec部署,可利用HSRP和RRI提供冗余,而对较大型的部署,则可将思科服务器负载均衡(SLB)用于提供冗余和负载均衡:IPsec!
"#$——IPsec状态化故障转换允许客户利用备份IPsec服务器,在计划内或计划外停机后,继续处理和转发IPsec报文.
无论主用路由器因为何种原因失去连接,备份(备用)IPsec服务器都会自动接管主用(主)路由器的工作,不会丢失与对等设备的安全连接.
这一过程对终端用户是透明的,无需远程对等设备进行任何调整或重新配置.
IPsec状态化故障转换可与状态化切换(SSO)和HSRP一起使用.
HSRP为IP网络提供了网络冗余,可确保用户流量可立即、透明地从网络边缘设备或接入线路故障中恢复.
IPsec状态化故障转换为IPsec隧道、配备GRE的IPsec和CiscoIOSEasyVPN流量提供了保护.
HSRPRRI——RRI与动态和静态密码映射相结合,简化了需高可用性或负载均衡的VPN的网络设计.
为各个远程网络或头端设备上的主机创建路由器,可支持动态路由传播.
HSRP和IPsec可动态地重新路由流量,以提供最高的服务可用性.
当主路由器出现故障而主机无法切换至另一台路由器时,HSRP可提供持续性的网络接入.
在这种情况下,HSRP虚拟IP地址被用作VPN隧道终端,为IPsec的无状态故障转换提供了持续的可用性.
SLB——可以定义虚拟服务器,来表示网络服务器集群(服务器群)中的一组物理服务器.
当客户端启动一条到虚拟服务器的连接时,CiscoIOS软件会根据所配置的负载均衡算法为连接选择一台物理服务器.
在物理服务器发生故障时,SLB可以动态地将所有进入的新IPsec连接重新路由至其他服务器,从而提供了冗余功能.
!
NetFlowNetFlow是业界检测网络异常流量的一项主要技术.
它提供的自动测量数据可对IP流量进行分析,例如,通信双方的身份、使用哪种协议或端口、通信持续的时间及速率等.
DDoS攻击会在网络使用中造成突发高峰.
在与从前收集的配置文件和基线所得出的典型流量模式进行比较后,这种情况会迅速被确定为异常网络"事件".
通过分析详细的NetFlow传输数据,还可以对攻击(即攻击的来源和目标)、攻击持续时间和攻击使用的分组大小进行归类.
分析工具包括来自于思科安全合作伙伴ArborNetworks、Mazu和Adlex的产品,以及思科安全监控、分析和响应系统(MARS)(见图1).
24!
RTBH当一个机构了解了攻击的来源(例如,通过分析NetFlow数据),它可以应用访问控制列表(ACL)等隔离机制.
在对攻击流量进行检测和分类后,就会生成相应的ACL并部署到必要的路由器上.
因为这一人工流程既耗时又复杂,许多客户便采用边界网关协议(BGP)将丢弃信息快速、高效地传播至所有路由器.
这一名为RTBH的技术将受攻击IP地址的下一跳设置成空接口.
流向受攻击地址的流量将在进入网络前就被丢弃.
另外一个选择是丢弃来自特定来源的流量.
这类似于以前所述的丢弃操作,但需要预先部署单播反向路径转发(URPF),如果来源为"无效"则丢弃分组;无效来源包括至null0的路由.
利用相同的基于目的地的丢弃机制,系统会发送BGP更新,这一更新会将某一来源的下一跳设置成null0.
至此,进入带URPF的接口的所有流量中包含该来源的流量都会遭丢弃.
虽然具备可扩展性,BGP触发的丢弃在对攻击作出反应时,还是会限制精确程度:如前所述,它们会将所有流量丢弃至黑洞目的地或源.
在许多情况下,这是应对大型攻击的一种有效手段,它的确可以防御间接损害(见图2).
2!
"#RTBH!
"DDoS!
"#CiscoIOSCiscoIOS防火墙是一个状态化检测防火墙选项,适用于思科路由器.
它是利用思科自适应安全设备(ASA)和PIX防火墙技术构建的,是一种理想的单一机箱安全和路由解决方案,用于保护网络的WAN入口.
1NetFlowandArborNetworks!
"#$%DDoS!
25CiscoIOS防火墙的主要特性包括:状态化防火墙,包括DDoS保护.
高级HTTP检测和控制,包括为端口80制订和实施安全策略;它可控制恶意应用对端口80的误用,恶意应用通常将流量隐藏入HTTP中,以避免细查.
SMTP、ESMTP、POP3和IMAP电子邮件检测.
针对语音、视频和其他应用的高级协议检测(支持H.
323v1和v2).
透明的第二层分区,使防火墙可以轻松地添加入现有网络,无需对IP子网重新规划.
能在IPv6和IPv4混合环境中运行.
针对每位用户、每个接口或每个子接口制订安全策略.
紧密集成身份识别服务,提供逐个用户的验证和授权.
URL过滤(非内置,通过Websense或N2H2产品提供),根据公司安全策略限制用户访问特定网站.
通过思科SDM中的防火墙策略视图简化了基于策略的防火墙管理为各角色提供独立视图:例如网络运营、安全运营、安全策略制订和终端用户等,使单一设备可以被多个团队管理.
CiscoIOSIPS一些思科路由器拥有IPS功能.
CiscoIOSIPS是一种基于深层分组检测的内部解决方案,可以帮助CiscoIOS软件有效地防御网络攻击.
CiscoIOSIPS能用于入侵防御和事件通知,它采用了源于思科入侵检测系统(IDS)产品的技术,这些产品包括CiscoIDS4200系列传感器、CiscoCatalyst_6500系列入侵检测系统(IDSM-1)服务模块和网络模块硬件IDS设备.
因为CiscoIOS软件IPS是内部应用,它可以丢弃流量,使路由器能够针对安全威胁快速作出反应,保护网络.
CiscoIOSIPS允许路由器丢弃流量,发送报警,根据需要本地规避或重新设置连接,以便在攻击发起点终止流量攻击,尽快地将其清除出网络.
这些活动可以根据特征值进行逐个配置.
目前,IPS解决方案已集成到现有接入路由器中,可在网络边缘部署这一额外防线,且无需路由器以外的开支.
其优势包括:提供了选定IPS特征值的加载和支持能力,方式与思科IDS传感器设备相同.
支持数量不断增长的特征值,以便从中进行选择;目前思科IPS传感器平台支持的特征值超过1200个.
允许用户修改现有特征值或创建新的特征值,防御新发现的威胁(可单独实施针对每个特征值的操作).
充分利用思科AVVID合作伙伴TrendMicro的全球病毒检测实力.
为第二层连接提供了第三层IPS,可以方便地向现有网络添加IPS,无需对IP子网重新规划.
CiscoIOSIPS还允许需要最大限度的入侵保护的用户选择一个便于使用的特征值文件,它包含"最有可能"的蠕虫和攻击特征值.
符合这些蠕虫和攻击特征值的流量将予以丢弃.
思科SDM为配置这些特征值提供了一个直观的用户界面,具有无需改变软件即可从Cisco.
com上传新特征值的能力,且能针对这些特征值相应地配置路由器.
!
"#$!
802.
1x!
"#$由于要求有效的接入证书,标准802.
1x应用增大了非法访问受保护信息资源的难度.
通过部署802.
1x应用,网络管理员还可有效地避免用户部署不安全的无线接入点,从而解决了便于部署的WLAN设备的一个最至关重要的问题.
CiscoIOS!
"#$%&CiscoIOS证书服务器将证书服务器内嵌入CiscoIOS软件,使路由器可作为网络上的证书授权设备.
CiscoIOS证书服务器可颁发和撤销数字证书.
过去,在VPN设施的不断发展的情况下,很难创建和管理密码信息.
借助在支持IPsecVPN的相同硬件上构建简单、可扩展、便于管理的证书授权机制,CiscoIOS证书服务器轻松地解决了这些问题.
CiscoIOS证书服务器为实现对称密钥的简便部署提供了一种重要的替代方法.
CiscoIOS软件还支持内嵌的PKI客户端功能,可与证书服务器和第三方证书授权方实现互操作.
PKI客户端的特性包括:支持机载ACL,根据证书的字段决定是否接受证书.
与AAA集成,根据用户名和其他属性授权证书.
支持在线证书状态协议(OCSP).
支持证书撤销列表和自动重新注册.
AAACiscoIOS软件AAA网络安全服务为在路由器或接入服务器上设置访问控制提供了框架.
通过AAA,管理员可以在每个线路(每位用户)或每项服务(例如IP、IPX或VPDN)的基础上,利用对应于特定服务或接口的具体方法,动态地配置所需验证和授权类型.
26!
"#$NACNAC是在思科系统公司倡导下,整个业界协作的结晶,可确保在授予网络接入权之前,每个终端都符合网络安全策略的要求,从而将病毒和蠕虫可能造成的损害降至最低限度.
通过调查网络连接设备是否符合网络安全策略,对网络接入进行控制.
NAC只允许符合公司最新防病毒和操作系统补丁策略的可信终端设备接入网络,使网络可以识别易损系统并实施有效的网络准入控制.
有漏洞的与不符合策略的主机将被隔离,只允许有限制地接入网络,直至漏洞修补完毕,确实安全为止,这可防止其成为蠕虫和病毒感染的攻击源或目标.
NAC提供了下列优势:!
"——包括了主机连接网络常用的方式,如路由器WAN链路、IPsec远程接入和拨号等.
!
"#$——在思科的领导下,与领先的防病毒厂商,包括NetworkAssociates、Symantec和TrendMicro,展开了多厂商协作,NAC正是其协作的结晶.
NAC扩展了现有通信协议和网络安全技术的使用,如可扩展验证协议(EAP)、802.
1x和RADIUS服务.
NAC使现有网络基础设施和防病毒技术相结合,提供了准入控制设施.
NFP在企业总部,网络基础设施设备的持续可用性无疑是最重要的.
如果一台网络路由器或交换机性能受到损害,入侵者即可获得整个网络的全部接入权.
无论公司为防御攻击部署了多少防御设施,我们也必须为应对未知攻击作好准备.
以下技术特别突出了功能强大的网络平台保护的重要性,这其中包括DDoS攻击发生时CiscoIOS软件设备的自防御,以及可将管理和控制接口遭受电子欺骗攻击的可能性降至最低限度的安全的管理接入功能.
!
"#即使是功能最强大的软件和硬件架构,在DDoS攻击面前也是存在漏洞的.
DDoS攻击是一系列恶意行为,旨在使大量无价值的流量,伪装成某类传输到控制平面处理器的控制报文,使网络基础设施过载,从而令其瘫痪.
为阻止这一威胁及类似的指向网络核心的威胁,CiscoIOS软件在路由器上设置了可编程监管功能,对导向控制平面的流量的速率进行限制或"监管".
这种称之为控制平面监管的特性,经过配置后,可完全或当其超出规定阈值时限制某种流量类型的传输(图3).
3!
"#!
!
"!
"#FIB!
"AutoSecureAutoSecure是一种CiscoIOS软件特性,可简化路由器安全配置,降低配置错误风险.
这种互动模式适合经验丰富的用户,能提示用户定置安全设置和路由器服务,为路由器安全功能提供更强大的控制能力.
为使未经培训的用户快速保护其路由器,且无需过多人工干预,AutoSecure提供了一种非互动运行模式,可根据思科系统公司的缺省设置,自动实施路由器安全功能.
只需一条命令即可迅速完成路由器安全状态的配置,禁用非必须的系统流程和服务,消除潜在的网络安全隐患.
NBARNBAR是CiscoIOS软件的一种分类引擎,可利用深层和状态化分组检测来识别各种应用,包括基于Web和其他采用动态TCP/UDP端口分配而难以分类的协议.
在安全环境中使用时,NBAR可以根据数据报文特征值检测蠕虫.
应用经NBAR识别和分类后,网络可以激活针对该应用的服务.
通过与QoS特性共用,提供带宽保证、带宽限制、流量整形和标记,从而可确保网络带宽得到高效的利用.
思科SDM(详见本文后续部分的"思科SDM:嵌入式服务管理")为实施NBAR提供了一个使用方便的向导,并为应用流量提供了图形化视图.
27CPU!
"CiscoIOS软件允许为路由器内存的使用设定全局内存阈值,并在达到阈值时发出通知.
通过预留CPU和内存,即使在高负载(例如,遭受攻击)的情况下,该特性也可使路由器保持运行.
SSHv2SSHv2提供了功能强大的全新验证和加密功能.
现在已有更多选项可在加密连接上实现更多类型流量的隧道化,包括文件复制和电子邮件协议.
由于验证功能范围更广,包括数字证书和更多的双因素验证选项,网络安全得以进一步增强.
SNMPv3SNMPv3是一种基于标准的互操作协议,适用于网络管理.
通过将数据包验证和加密在网络上相结合,它提供了安全的设备接入功能.
SNMPv3提供的安全特性如下:!
"——确保数据包在传输过程中不被篡改.
——证实信息是来自有效的来源.
——编码加密数据包内容,使其不被未授权者看到.
SNMPv3提供了安全模式和安全级别.
安全模式是为用户和用户所处群组而设置的验证策略.
安全级别是安全模式内安全的许可级别.
在处理SNMP报文时,安全模式和安全级别的组合决定了所采取的安全机制.
安全模式有3种:SNMPv1、SNMPv2c和SNMPv3.
!
"CLI基于角色的CLI接入允许网络管理员定义"视图",它是一组操作命令和配置功能,可有选择性地或部分地访问CiscoIOS软件.
视图可限制用户访问CiscoIOS软件CLI和配置信息,定义可以接受哪些命令,以及可查看哪些配置.
基于角色的CLI接入的应用包括网络管理员可为安全人员提供某些特殊的功能.
另外,电信运营商可以利用该特性为终端客户授予有限的接入权,这有助于网络排障.
思科SDM在出厂时就为管理员配备了缺省接入配置文件、只读文件(适用于用户)、防火墙策略和EasyVPNRemote.
拥有基于角色的接入权限、登录思科SDM的用户,只可以浏览与其角色相应的GUI屏幕.
!
SDM!
"#$每个Cisco7200系列和Cisco7301安全捆绑都配备有厂商安装的思科SDM.
它是一种直观的基于Web的设备管理器(GUI),用于思科路由器的部署和管理.
它拥有一个用于加速部署和路由器锁定的启动向导,可支持安全和路由特性的智能向导、思科技术支持中心(TAC)验证的路由器配置以及与项目有关的培训内容,从而简化了路由器配置和监控.
思科SDM将路由和安全服务管理与便于使用的智能向导,以及深入排障功能相结合,为将服务集成到路由器提供了支持工具.
客户现在可以实现整个网络的路由和安全策略的同步化,更全面地浏览路由器服务状态,并降低运营成本.
如需了解更多有关各特定版本的信息,请访问http://www.
cisco.
com/go/sdm.
!
"#$%思科安全管理套件是一个产品和技术框架,用于可扩展策略管理和思科自防御网络的实施.
这种集成解决方案可简化并自动执行与安全管理运营有关的任务,包括配置、监控、分析和响应.
其主要组件如下:MARS——一种基于设备的全方位解决方案,使网络和安全管理员能对安全威胁进行监控、识别、隔离和防御.
!
"#$——一种便于使用的解决方案,用于为思科安全设备、防火墙、路由器和交换机模块配置防火墙、VPN和入侵防御系统(IPS)策略.
这些应用可进行集成,当出现威胁时,对网络的安全进行持续监控和改进.
思科承诺为全球的客户提供有效的产品认证和评估计划.
CiscoIOSVPN已通过联邦信息处理标准(FIPS)140-2认证,CiscoIOS防火墙也已获得互联网计算机安全协会(ICSA)的认证;即将获得CommonCriteriaEAL4+认证.
思科认为,这些认证是其集成安全策略的一个重要组成部分,它将继续努力使Cisco7200系列路由器和Cisco7301路由器通过FIPS、ICSA和CommonCriteria认证.
如需了解更多信息,请访问http://www.
cisco.
com/go/securitycert.
FIPS国家标准和技术机构(NIST)是美国商务部技术管理委员会下属的非常规联邦机构.
Cisco7200系列路由器和Cisco7301路由器的设计符合NIST的FIPS140-2安全认证的要求.
28!
"为了帮助客户更快地获得成功,思科提供了多种服务计划.
这些创新的服务计划通过一个由人员、流程、工具和合作伙伴构成的独特网络提供,可以实现很高的客户满意度.
思科服务可以帮助您保护您的网络投资,优化网络运营,让您的网络为新的应用做好充分的准备,从而拓展网络智能并增强您的业务优势.
如需了解更多关于思科服务的信息,请访问思科技术支持服务或者思科高级服务.
!
"#如需了解更多有关Cisco7200系列路由器和Cisco7301路由器,以及补充性Cisco800系列和Cisco1800、2800及3800系列分支机构路由器解决方案中网络安全的信息,请访问http://www.
cisco.
com/go/routersecurity或联系您当地的客户代表.
!
!
Cisco7206VXR路由器机箱,NPE-G2处理器,配备512MB系统内存,7206VXRG2/VSAVPNK93个板载100/1000以太网端口,VSA,交流电源和思科高级安全软件Cisco7206VXR路由器机箱,CiscoNPE-400处理器,配备512MB系7206VXR400/2+VPNK9统内存,I/O控制器,2个10/100以太网端口,VAM2+,交流电源和CiscoIOSIP防火墙,及IPSIPsec3DES软件Cisco7206VXR路由器机箱,CiscoNPE-G1处理器,配备512MB系7206VXRG1/2+VPNK9统内存,3个板载100/1000以太网端口,VAM2+,交流电源和CiscoIOSIP防火墙,IPSIPsec3DES软件Cisco7301路由器机箱,配备3个板载100/1000以太网端口,VAM2+,CISCO7301/2+VPNK9512MB系统内存,交流电源和CiscoIOSIP防火墙,IPsec3DES软件表3Cisco7200系列路由器和Cisco7301路由器订购信息ICSAICSA实验室,即从前的国际计算机安全协会,管理和赞助了多个安全机构,为安全产品领先厂商间的知识共享提供了一个论坛.
思科正在申请ICSA的IPsec和防火墙认证.
CommonCriteriaCommonCriteria是一个评估IT安全的国际性标准,由多个国家共同开发,以替代许多国家专有的现行安全评估流程,旨在成为国际通用的单一标准.
目前,CommonCriteria已获得了14个国家的官方认可.
澳大利亚信息安全评估计划(AISEP)当前正在根据信息技术安全评估标准(ITSEC)或CommonCriteria,对部分CiscoIOS软件IPsec版本和思科路由器进行评估.
!
如需订购,请访问思科订购主页.
表3提供了Cisco7200系列和Cisco7301安全捆绑的订购信息.
思科接入和终端安全捆绑的完整列表位于http://www.
cisco.
com/go/securitybundles.
29!
Cisco7200VXR!
Cisco7200VXRhttp://www.
cisco.
com/en/US/products/hw/routers/ps341/index.
html!
Cisco7200VXRNPE-G2http://www.
cisco.
com/en/US/products/hw/routers/ps341/products_data_sheet0900aecd8047177b.
htmlCisco7200VXR端口适配器插口卡http://www.
cisco.
com/en/US/products/hw/routers/ps341/products_data_sheet0900aecd804419c6.
htmlCisco7200VXRVPN服务适配器http://www.
cisco.
com/en/US/products/hw/routers/ps341/products_data_sheet0900aecd8047192f.
html!
"#http://www.
cisco.
com/en/US/products/hw/routers/ps341/prod_case_studies_list.
html!
"#SONA!
"#$%&'http://www.
cisco.
com/en/US/netsol/ns629/networking_solutions_market_segment_solutions_home.
html!
"#MAN/WANhttp://www.
cisco.
com/en/US/netsol/ns483/networking_solutions_packages_list.
html30!
"#!
$%&1!
"!
"#$%&1921100738!
861085155000!
861085181881!
"#222!
3233200021!
862123024000!
862123024450!
"#$308!
23610017!
862886961000!
862886528999!
"#$%&'161!
"#A34510620!
862085193000!
86208519300820064!
"#$%&http://www.
cisco.
com/http://www.
cisco.
com/cn0*1200601Cisco,CiscoIOS,CiscoIOSCiscoSystems,CiscoSystemsCiscoSystemsCiscoPress01234516789:;@A1B*CDEF01234+56789:;@A%BCDEFG@A1B*CDEF01234+56789:;@A%BCDEFG