这份数据表将介绍 Cisco® 路由器和安全设备治理器 (SDM) 的特性、优点和产品上市日期。Cisco SDM 是为基于 Cisco IOS® Software 的路由器开发的一种直观 Web 设备治理工具。它能够通过智能向导简化路由器和安全配置,使客户和 Cisco 合作伙伴不需要了解命令行界面 (CLI) 就能快速轻易地部署配置和监控 Cisco 系统® 路由器。许多 Cisco 路由器和 Cisco IOS Software 版本均可以支持 Cisco SDM。有关 Cisco SDM 支持的型号,请参考表3。
易用性和内置应用智能
利用 Cisco SDM 用户不但能轻松地在 Cisco 路由器上配置路由、交换、安全和服务质量 (QoS) 服务还能通过性能监控进行主动治理。现在 Cisco SDM 用户可以远程配置和监控 Cisco 路由器而不再需要使用 Cisco IOS Software CLI。Cisco SDM GUI 能够帮助 Cisco IOS Software 的非专家型用户完成日常操作,提供易于使用的智能向导,自动执行路由器安全治理并通过全面的在线帮助和指导给予用户帮助。
Cisco SDM 智能向导指导用户通过系统地配置 LAN、WLAN 和 WAN 接口、防火墙、入侵防御系统 (ipS) 和IP Securtiy (IPSec) VPN 来逐步完成路由器和安全配置工作。Cisco SDM 智能向导能够以智能方式检测到错误配置并提出修复建议,例如假如 WAN 接口由DHCP 定址,则答应动态主机配置协议 (DHCP) 流量通过防火墙。除帮助用户在 Cisco SDM 中输入正确数据的具体步骤外,嵌入在 Cisco SDM 中的在线帮助还提供了相应的背景信息。用户可能碰到的网络和安全术语及定义包含在在线词汇表中。
对于熟悉 Cisco IOS Software 及其安全特性的网络专家,Cisco SDM 提供了能够快速配置和精确调整路由器安全特性的先进配置工具,以便网络专家能够先审核 Cisco SDM 生成的命令再提供路由器配置更改方案。
Cisco SDM 帮助治理员利用安全套接层 (SSL) 和安全配置 (SSHv2) 协议连接从远程位置配置和监控路由器(图1)。利用这种技术能够通过互联网在用户的浏览器与路由器之间建立安全连接。在分支办公室部署时,可以从公司总部配置和监控 Cisco SDM 型路由器,因而能减少分支办公室对高级网络治理员的需要。
图1利用 SSL 与 Cisco SDM 型路由器相连建立安全远程连接
集成式安全配置
部署新的路由器时,可以利用国际计算机安全协会 (ICSA) 和 Cisco 技术支持中心 (TAC) 推荐的最佳实践来使用 Cisco SDM 快速配置 Cisco IOS Software 防火墙。先进的防火墙向导答应高、中、低应用程序防火墙设置的一步部署。Cisco SDM 用户可以配置最强的 VPN 默认值并自动执行安全审计(图2)。此外,Cisco SDM 用户可以执行防火墙的一步路由器锁定,并通过一步 VPN 快速部署安全站点到站点连接。Cisco 推荐的与 Cisco SDM 捆绑在一起的IPS 签名表可以快速部署蠕虫、病毒和协议攻击抵御系统。通过 Cisco SDM 网络准入控制(NAC) 向导,可以简单快速地将 NAC 和客户机安全状态治理集成到现有的网络基础架构中。
图2 路由器安全审计
调用已经配置好的路由器时,利用 Cisco SDM 用户只需执行一步安全审计就能通过与一般安全漏洞的对比评估出路由器配置的优势和弱点。治理员可以精细调整他们现有的路由器安全配置,更好地满足他们的企业需要。Cisco SDM 还可以用于日常操作,例如:监控、故障治理和故障排除等。
路由器配置
除安全配置外,Cisco SDM 还能帮助用户快速轻松地执行路由器服务配置,例如:LAN WLAN、WLAN 和 WAN 接口配置、动态路由、DHCP 服务器、QoS 策略等等。
利用 LAN 配置向导,用户不但能为以太网接口分配 IP 地址和子网掩码,还能启动或禁用 DHCP 服务器。利用 WAN 配置向导,用户可以为 WAN 和互联网接入配置 xDSL、T1/E1、以太网和 ISDN 接口。另外,对于串行连接,用户还可以实施帧中继、点对点协议 (PPP) 和高级数据链路控制 (HDLC) 封装。不仅如此,Cisco SDM 还答应配置静态路由和通用动态路由协议,例如:“开放最短路径优先” (OSPF)、“路由信息协议” (RIP) 第2 版本和“增强型内部网关路由选择协议” (EIGRP)。
现在利用 Cisco SDM,可以轻松地将 QoS 策略应用到任何 WAN 或 VPN 通道接口。QoS 策略向导能够自动执行 QoS 策略的 Cisco 体系结构原则,以便有效区分实时应用(语音或视频)、要害业务应用(结构化查询语言 [SQL]、Oracle、Citrix、路由协议等)流量及其它网络流量(Web 电子邮件等)。借助 Cisco SDM 中基于网络的应用程序识别 (NBAR) 监控,用户能够以可视方式实时检查应用层流量,并不断分析 QoS 策略对各种应用流量的影响。
监控和故障排除
在监控模式下,Cisco SDM 能够以图形方式快速显示重要路由器资源的状态和性能数据,例如接口状态(正常或不正常)、CPU 和内存使用等(参见 图 3)。对于无线型号,Cisco SDM 全面支持实时 802.11a/b/g 接口统计数据。Cisco SDM 可利用路由器上的集成式路由和安全特性深入诊断 WAN 和 VPN 连接,并及时排除故障。例如:排除 VPN 连接故障时,Cisco SDM 将检查从 WAN 接口层到 IPSec Crypto Map 层的路由器配置和连接。测试每个层次的配置和远程对等连接时,Cisco SDM 将提供成功或失败状态、可能的失败原因以及 Cisco TAC 提出的修复建议。
图3VPN 故障排除和恢复
Cisco SDM 监控模式不但答应用户检查被 Cisco IOS Software 防火墙拒绝的网络访问企图次数还可以提供访问防火墙记录。不仅如此,用户还可以监控具体的 VPN 状态信息,例如:IPSec 通道加密或解密的包数以及 Easy VPN 客户机连接细节。
表1. Cisco SDMv2.2 的特性特性 优点 新硬件支持 EtherSwitch 服务模块:NME-16ES-1G-P、NME-X-23ES-1G-1P、NME-XD-24ES-1S-P、NME-XD-48ES-2S-P
USB 快闪键和 USB eTokens (Aladdin’s eToken)
ADSL 2/2+ 和 ISDN HWICs
NM-1FE-FX-V2 和 NM-1FE2W-V2自动识别、配置和监控新硬件
USB 闪存文件系统治理、数字证书保存和带有 USB 标记的安全凭证。
VLAN 干线和以太网子接口配置支持 Cisco 事件控制服务 (ICS)支持 Trend Micro 签名 快速部署和定制零天保护的签名,防止新的攻击 网络准入控制 (NAC)在路由器上的配置向导和客户机安全状态治理 简单快速地将 NAC 集成到现有的网络基础框架中。 应用防火墙 先进的防火墙向导、策略视图、检查规则编辑器和记录视图
对等项至对等项 (P2P) 应用:BitTorrent、Kazaa、Gnutella、eDonkey
即时信息:Yahoo, MSN, AOL
协议一致性:HTTP 和 e-mail(简单邮件传输协议)[SMTP]、ESMTP、POP3、和 Internet 消息访问协议 [IMAP]) 为快速的安全解决方案部署提供给用层控制和统一威胁治理
协议异常检测服务
进行快速简单部署的防火墙策略设置的高、中和低安全级别。
低—适于不需要跟踪网络上 P2P 和 IM 应用程序或检查协议一致性的商业环境
中—适于安全非常重要、需要跟踪 IM 和P2P 应用程序的使用情况并且需要检查 HTTP 和 Email 协议一致性的商业环境。
高—适于安全极其重要、需要协议异常检测服务来断开不一致性 HTTP 和 Email 流量并防止使用 P2P 和 IM 应用程序的商业环境。 粒度协议检查 到在 TCP 和 UDP 端口上端口(或端口范围)映射的用户自定义应用程序 在策略中选择简单粒度协议的应用程序菜单 基于威胁的入侵防御 基于威胁的签名分类,方便 IPS 部署
IPS 配置向导、事件观察器 根据可用资源和攻击类别 (Viruses/Worms/Trojans, DoS/DDos 等等) 的更为简单、智能的选择
实时报告签名引擎状态 Easy VPN 服务器和远程增强 先进的向导、远程配置更新、网络拦截、拨号备份和 QoS 支持 集线器型路由器或分支办公室接入路由器上的“电子工人”或小办公室的可扩展的、易于治理的、安全的远程访问 动态 DNS基于 HTTP 和基于 IETF 的更新
与现有的 WAN 接口配置向导集成 动态编址路由器的可扩展、远程治理
无需专用、昂贵的静态 IP 地址即可运行商业服务 可用性改进 来自 IPS 签名引擎的安全设备事件交换 (SDEE) 报警的实时观察器
第 3 层及更高版本的防火墙策略模板
应用防火墙报警记录
简化 IP 地址治理的网络地址转换 (NAT) 向导
Cisco SDM UI 网页、特性和向导的搜索工具栏
降低成本
Cisco SDM 适合那些对设备部署和网络治理成本敏感但缺少高技能技术人员的企业分支办公室和中小型商业机构。利用 Cisco SDM 企业和 Cisco 渠道合作伙伴能够轻松地实施路由器安全和网络配置。Cisco SDM 生成的 Cisco IOS Software 配置已经过 Cisco TAC 批准。Cisco SDM 能够通过内置配置检查、专家配置编辑器和有意义的默认值提高网络和安全治理员的生产率。另外 Cisco SDM 特性还能减少配置出错机会,大大提高网络可靠性。
对于建立了大网络的企业,Cisco SDM 能够通过与 Cisco CNS 配置引擎的集成以可扩展的方式轻易地部署路由器。Cisco SDM 生成的 Cisco IOS Software 配置可以导入到 Cisco CNS 配置引擎中,然后以“饼干模子 (cookie cutter)”方式部署到数千台的 Cisco 路由器。
可治理 CPE 服务
Cisco SDM 能够为服务提供商提供非常经济有效的解决方案,以便提供 Cisco 路由器服务(防火墙、IPSec VPN、入侵防御、WAN 接入、QoS 等)的只读图形视图。而且客户不需要购买复杂的运行支持系统 (OSS) 软件来提供最终客户视图就能快速提供增值客户端设备 (CPE) 服务。
另外,这种解决方案还能为服务提供商最终客户提供本地工具,使他们可以快速解决与 CPE 相关的所有问题,从而减轻网络支持中心的支持负担。
Cisco 代理商可以利用 Cisco SDM 为 Cisco 接入路由器的安装基础或新的 Cisco 路由器客户提供增值安全性、流量整形或可治理 CPE 服务。
Cisco SDM 及其它 Cisco 治理应用
Cisco 还提供可以与 Cisco SDM 配合使用的其它设备和网络治理应用。如要显示和监控 Cisco 设备的物理视图,还可以在专用 CiscoWorks 服务器上安装基于 Web 治理应用的 CiscoView。Cisco SDM 与 CiscoView 客户机接口可以共置于同一台工作站上:Cisco SDM 主要用于路由器和安全特性配置,CiscoView 则主要用于实时显示物理路由器状态和监控基于简单网络治理协议 (SNMP) 的设备。
QQRead.com 推出数据恢复指南教程 数据恢复指南教程 数据恢复故障解析 常用数据恢复方案 硬盘数据恢复教程 数据保护方法 数据恢复软件 专业数据恢复服务指南 应用Cisco 路由器初始部署
Cisco SDM 帮助 Cisco 合作伙伴和客户通过 Cisco SDM EXPRess(图 4)和几种基于任务的智能向导快速安全地部署 Cisco 路由器。利用一步路由器锁定特性,可以先关闭 Cisco IOS Software 中所有不必要的服务,再将 Cisco 路由器与公共 Internet 或WAN 相连。
图4 Cisco SDM Express
Cisco 路由器批量部署
为了快速有效地批量部署采用出厂默认配置的 Cisco 路由器,可以将 Cisco SDM 与 Cisco CNS 2100 系列智能引擎集成在一起。在推广阶段,服务提供商和大企业可以灵活地使用 Cisco SDM 和 Cisco CNS 210 系列组合,或者答应未经培训的现场治理员在不使用 Cisco IOS Software CLI 的情况下下载最终 Cisco IOS Software 配置。
Cisco 路由器安全治理
Cisco SDM 能够帮助 Cisco 合作伙伴和客户轻易地部署 Cisco IOS Software 安全特性:NAT、访问控制列表 (ACLs)、防火墙、IPS、和 IPSec VPN,并将这些安全特性与现有路由器配置和网络体系结构集成在一起。Cisco SDM 中的智能向导不但了解路由和安全特性的交互,还能指导用户一步步完成已经过 Cisco TAC 批准和测试的最终配置。利用 Cisco SDM 中的CLI 预览模式,专家用户可以在人工审核最终配置之后再将其交付给路由器。
Cisco 路由器运行治理
Cisco SDM 能够帮助 Cisco 合作伙伴和客户安全地(使用 SSL 和 SSH)远程治理路由器运行的各个主要方面:硬件和软件资产状况、接口状况、防火墙和 ACL 记录、VPN 通道状况、以及最近的系统记录消息。
图5Cisco 路由器的硬件和软件目录
总结
Cisco SDM 是为网络和安全治理员开发的能够提高生产率的有用工具。Cisco 合作伙伴可以使用 Cisco SDM 快速轻易地部署 Cisco 路由器,实现 WAN 接入和网络安全特性。
Cisco 客户可以通过 Cisco SDM 降低 Cisco 路由器的总所有成本,因为他们可以使用由 Cisco 工程师进行过端到端测试,并已经过 Cisco TAC 批准的由 Cisco SDM 生成的配置。内置于 Cisco SDM 中的配置检查有助于减少配置出错机会。
产品规格
表 2 给出了 Cisco SDM 的主要特性和优点。表 3 给出了 Cisco SDM 的产品规格。
表2. Cisco SDM 的主要特性和优点特性 优点 基于 Web 的嵌入式治理工具 使路由器成为带有自身治理工具的完整的安全远程接入解决方案
不需要建立专用治理站
答应从支持的任何台式机或笔记本电脑执行远程治理 基于 SSL 和 SSHv2 的安全远程接入 通过 WAN 提供安全治理 路由器状态简图 用图形方式快速汇总路由器硬件、软件和主要路由器服务,例如:VPN、防火墙、QoS 等等。 路由器安全审计 评估现有路由器的漏洞
提供快速符合路由器最佳实践(Cisco TAC、ICSA 建议)的安全策略 一步路由器锁定 不需要有关安全性或 Cisco IOS Software 的专业知识,就能简化防火墙和 Cisco IOS Software 配置 多数常用路由器和安全配置任务都配有智能向导 生成由 Cisco TAC 批准的配置
利用集成式路由和安全知识避免错误配置
网络治理员不需要参加全面培训就能治理新的 Cisco IOS Software 安全特性
轻松、经济、有效地保护现有网络基础框架 基于策略的防火墙和 ACL 治理(防火墙策略) 使安全治理员能够通过直观图形策略表快速地治理 ACL 和分组检查规则 IPS在任何路由器接口上为来往流量快速、轻易地提供经 Cisco 调试和推荐的高置信度攻击签名
可以在不影响路由器基本操作的情况下动态更新 IPS 签名
能够以图形方式定制 IPS 签名,以便立即对新蠕虫或病毒变种作出反应
可以过滤签名并对所选签名执行批量配置更改(措施或严重程度)
从IPS 引擎显示实时状态和错误信息 Cisco Easy VPN 服务器 为远程访问 VPN 用户提供基于向导的配置和实时监控
提供与路由器或远程验证、授权和计账 AAA 服务器的集成 基于角色的访问 提供不同路由器治理员和用户之间的逻辑隔离
根据每个治理员的要求,提供对 Cisco SDM 用户界面和 Telnet 界面的安全访问
帮助使 Cisco 增值代理商和服务提供商可以向最终客户提供CPE 服务的图形只读视图
提供出厂默认简档
治理员
防火墙治理员
Easy VPN 客户机用户
只读用户 WAN 和VPN 故障排除 尽量利用路由器上的路由、LAN、WAN、和安全特性排除故障,以缩短平均修复时间 (MTTR)
利用路由器上的路由、LAN、WAN、和安全特性排除 IPSec VPN 或 WAN 链路的故障
将第 2 层及更高版本的故障排除特性与 Cisco TAC 的恢复操作知识库结合在一起 QoS 策略 按照不同的业务需要(语音和视频企业应用、Web 等)简单有效地优化 WAN 和 VPN 带宽和应用性能
三种预定类别:实时、要害业务、和最大努力 NBAR按照预定服务策略,实时核实 WAN 和 VPN 带宽的应用使用情况
提供流量性能监控 SSHv2提供 PC 与 Cisco 路由器之间的安全治理
自动使用 SSHv2 来执行 Cisco SDM 与路由器之间的所有加密通信 实时监控和记录 使治理员能够主动治理路由器资源和安全性,防止相关问题影响到网络上的要害业务应用 数字证书 提供可高度扩展的且安全性高于预共享密钥的解决方案
通过 Cisco SDM、Cisco IOS 证书授权服务器、和轻松安全设备部署 (ExSDD) 的结合实现易用性和易部署性 实时网络和路由器资源监控 更快速、更轻易地分析路由器资源和网络资源使用情况
提供 LAN 和WAN 流量和带宽使用情况的图形表 基于任务的 Cisco SDM 用户界面 更快速、更轻易地执行安全配置——IPSec VPN、防火墙、ACL、IPS 等等
通过主页上的仪表板视图快速捕捉路由器服务配置信息 Cisco SDM Express
路由器基于向导的部署 提供基本 WAN 接入配置的快速简单路由器部署
非专家用户的理想路由器部署工具 基于 PC 的 SDM
Cisco SDM 安装在基于 Windows 的 PC 上,而不是安装在路由器闪存上 在路由器 Cisco SDM 的闪存上不需要额外闪存空间
治理 Cisco 路由器安装基础的理想工具 已经实现了六种语言的本地化 简化了路由器各国语言用户治理
Cisco SDM 用户界面和在线帮助已经翻译为日语、简体中文、法语、德语、西班牙语和意大利语(于2005 年 6 月上市)
MS Windows OS 支持这些语言(现已上市) 集成式无线治理 Express Setup 向导能够简化无线接口的首次设置
提供基于 Web 的高级配置和监控
缩短启用无线接口所需要的时间,降低对人员的技能要求
根据具体站点的需求灵活地定制无线配置和安全 IPS 供给改进 根据路由器型号快速部署 IPS 签名 表3. Cisco SDM 的产品规格(支持的最低 Cisco IOS 版本支持的平台 - Cisco 小型企业 101、Cisco 小型企业 106、Cisco 小型企业 107:
- Cisco IOS 软件版本 12.3(8)YG - Cisco 831 以太网宽带路由器、 通过 ISDN 宽带路由器的 Cisco 836 ADSL、和 Cisco 837 ADSL 宽带路由器:
- Cisco IOS 软件版本 12.2(13)ZH 或 12.3(2)T - Cisco 851、856、871、876、877、和 878 集成多业务路由器:
- Cisco IOS 软件版本 12.3(8)YI - Cisco 1701 ADSL 安全接入路由器、Cisco 1710、1711、和1712 安全接入路由器、和 Cisco 1721、1751、1751-V、1760 和 1760-V 模块接入路由器:
- Cisco IOS 软件版本12.2(13)ZH、12.2(13)T3、或 12.3(1)M - Cisco 1801、1802、1803、1811 和 1812 集成多业务路由器:
- Cisco IOS 软件版本 12.3(8)YI - Cisco 1841 集成多业务路由器:
- Cisco IOS 软件版本 12.3(8)T4 - Cisco 2610XM、2611XM、2620XM、2621XM、2650XM、和 2651XM 以及 Cisco 2691 多业务平台:
-Cisco IOS 软件版本 12.2(15)ZJ3、12.2(11)T6、或 12.3(1)M - Cisco 2801、2811、2821、和 2851 集成多业务路由器:
-Cisco IOS 软件版本 12.3(8)T4 - Cisco 3725 和 3745 多业务接入路由器:
-Cisco IOS 软件版本 12.2(15)ZJ3、12.2(11)T6、或 12.3(1)M - Cisco 3825 和 3845 集成多业务路由器:
-Cisco IOS 软件版本 12.3(11)T - Cisco 7204VXR、7206VXR、和 7301 路由器:
-Cisco IOS 软件版本 12.3(2)T 或 12.3(3)M;不支持 B、E、S 列
软件兼容性 - 对于前面提到的支持 Cisco SDM 版本的 Cisco IOS Software,可与所有 Cisco IOS Software 特性集兼容
连接性 - HTTP 和 HTTPS、Telnet SSH、 和 SSHv2
基本路由器配置参数 - 使用不同访问简档的用户
- 域名系统 (DNS)
- DHCP 服务器和客户机
- SNMP
- Telnet、SSH、SSHv2、和 vty
- 日期和时间、网络时间协议 (NTP)
- Syslog
- 恢复到出厂默认值
- 主机名称、域名和标识
高级路由器配置参数 - 路由协议:静态 RIP v1 和 v2、OSPF 和 EIGRP
- NAT(静态和动态)
- ACL
- QoS 策略、NBAR
- 建立在 Cisco EtherSwitch® 端口上的 VLAN
- IP 代理地址解析协议 (ARP)、Internet 控制消息协议 (ICMP)、重定向、ICMP 不可到达、ICMP 掩码应当和定向广播
- AAA 本地或远程配置
可配置的路由器接口 - 以太网(10、10/100 和 10/100/1000 Mbps)
- 802.11 a, 802.11 b/g
- xDSL(非对称 DSL [ADSL] 和 G.SHDSL)
- T1/E1 (串行)
- ISDN 基本速率接口 (BRI;具有多个优先等级)
- 模拟调制解调器
支持的 WAN 封装 - 帧中继
- PPP
- 以太网 PPP (PPPoE)
- ATM PPP (PPPoA)
- RFC 1483 路由
- HDLC
- ADSL 自动检测
可配置的 VPN 参数 - Internet 密钥交换 (IKE)、数字证书、数据加密标准 (DES)、三重 DES (3DES)、高级加密标准 (AES) 和压缩
- IPSec 站点到站点
- Cisco Easy VPN 服务器
- Cisco Easy VPN Remote
- 通用路由封装 (GRE) 通道
- 动态多点 VPN (DMVPN,集线器和辐条),包括带有冗余集线器动态辐条到辐条通道
支持的防火墙参数 - 基于前后关联的访问控制 (CBAC DMZ)、防火墙记录、防火墙和 ACL 策略视图、安全治理访问
支持的IPS 签名 - 针对入站或出站流量检查、签名精确调整、签名定制和 SDEE 错误消息显示的 IPS 规则
CiscoView 兼容性 Cisco CallManager Express 兼容性 性能 - Cisco SDM 对路由器 DRAM 或 CPU 的影响可以忽略
系统要求
表4 列出了 Cisco SDM 的系统要求。
表4. 系统要求路由器闪存 在路由器上为 Cisco SDM 文件提供的最低 6MB 闪速内存,或者
在路由器上为 Cisco SDM Express 提供的最低 2MB 闪速内存。无线治理文件另需 1.7MB。其余 SDM 文件可以安装在 PC 硬盘上 PC 硬件 Pentium III 或更先进的处理器 PC 操作系统 Windows xp Professional
Windows 2003 Server(标准版)
windows 2000 Professional
Windows NT 4.0 Workstation (Service Pack 4)
Windows ME
支持日语、简体中文、法语、德语、西班牙语和意大利语 OS
Windows XP Professional
Windows 2000 Professional浏览器软件 Microsoft Internet Explorer 5.5 或更高版本
Netscape Navigator 7.1 和 7.2
Firefox 1.0.5java 软件 要求 Java Virtual Machine (JVM) 内置浏览器
Java 插接件(Java Runtime Environment Version 1.4.2_05 或更高版本)