思科集成多业务路由器(ISR)

思科路由器和安全设备管理器

Downloads

产品概述

Cisco SDM是针对基于 Cisco IOS® 软件的路由器的Web的直观设备管理工具。Cisco SDM通过智能向导帮助客户快速轻松地部署、配置并监控思科®路由器,无需了解命令行界面(CLI),从而简化了路由器和安全性配置。Cisco 830系列、Cisco 1700系列、Cisco 1800系列、Cisco 2600XM、Cisco 2800系列、Cisco 3600系列、Cisco 3700系列和Cisco 3800系列路由器以及某些Cisco 7200 系列和Cisco 7301路由器都支持Cisco SDM。

易用性和应用智能

Cisco SDM允许用户在思科路由器上轻松配置路由、交换、安全性和服务质量(QoS)业务,同时通过性能监控功能帮助实现主动管理。无论是部署新路由器还是在现有路由器上安装Cisco SDM,用户现在都能够远程配置并监控这些路由器,无需使用Cisco IOS软件CLI。Cisco SDM GUI能够帮助Cisco IOS软件的非专家用户顺利开展日常工作、提供易用的智能向导、自动化路由器的安全管理功能、并帮助用户访问全面的在线帮助与指导(见图1)。

图1 Cisco SDM GUI

Cisco SDM GUI

Cisco SDM智能向导通过系统配置LAN和WAN接口、防火墙、入侵防范系统(IPS)和IP安全性(IPSec)VPN指导用户一步步完成路由器和安全性配置工作。Cisco SDM智能向导可以智能地检查错误配置并提供修复建议,例如,当WAN接口为DHCP地址时,它允许动态主机配置协议(DHCP)流量通过防火墙。嵌入在Cisco SDM中的在线帮助包含适当的背景信息以及逐步的指导程序,可帮助用户访问Cisco SDM中的适当数据。在线词汇表总结了用户可能遇到的组网及安全性术语和定义。

对于熟悉Cisco IOS软件及其安全特性的网络专家来说,Cisco SDM提供了先进的配置工具,以供快速配置和微调路由器安全特性,允许网络专家在对路由器的配置进行更改前检查Cisco SDM生成的命令。

Cisco SDM可帮助管理人员使用安全套接字层(SSL)和安全外壳(SSHv2)协议连接从远端位置配置并监控路由器(图2)。这项技术可在用户的浏览器与路由器之间实现互联网上的安全连接。当部署在分支机构时, 基于Cisco SDM的路由器可从企业总部配置和监控,从而无需在分支机构配备资深的网络管理员。

图2 使用SSL连接到Cisco SDM路由器,建立安全的远程连接

利用SSL与Cisco SDM型路由器相连,建立安全远程连接

集成式安全配置

在部署新路由器时,Cisco SDM可用于通过国际计算机安全协会(ICSA)和思科技术支持中心(TAC)建议的最佳方案快速配置Cisco IOS防火墙。Cisco SDM用户可配置最强有力的VPN缺省,并自动进行安全审计(图3)。此外,Cisco SDM用户还能进行一步路由器锁定(用于防火墙)以及一步式VPN锁定(用于快速部署安全的站点间连接)。与Cisco SDM捆绑销售的思科建议的IPS签名列表允许快速部署蠕虫、病毒以及滥用协议的防御工具。

图3 路由器安全审计

路由器安全审计

当安装在现有路由器上时,Cisco SDM允许用户进行一步式安全审计,以根据常见的安全漏洞评估其路由器配置的优缺点。管理员可微调现有路由器安全配置,以便更好地满足其商业需求。Cisco SDM也可用于监控、故障管理以及排障等日常运行。

路由器配置

除了安全配置外,Cisco SDM还可帮助用户快速轻松地进行路由器服务配置,如LAN和 WAN接口配置、路由、DHCP服务器以及QoS策略等。

使用LAN配置向导,用户可为以太网接口分配IP地址和子网掩码, 并可打开或关闭DHCP服务器。利用WAN配置向导,用户可为WAN和互联网访问配置xDSL、T1/E1、以太网及ISDN接口。 此外,对于串行连接来说,用户可实施帧中继、点到点协议(PPP)以及高级数据链路控制(HDLC)封装。Cisco SDM还允许配置静态路由和常见的动态路由协议,如开放最短路径优先(OSPF)、路由信息协议(RIP)第2版以及增强的内部网关路由协议(EIGRP)等。

利用Cisco SDM,QoS策略现已能够轻松应用到任何WAN或 VPN隧道接口处。QoS策略向导可实现‘QoS策略思科架构指南’自动化,以便在实时应用(话音或视频)和企业关键应用(结构化查询语言 [SQL]、Oracle、Citrix及路由协议等)流量与其他网络流量(如Web和电子邮件等)之间有效地分配优先级。Cisco SDM中根据基于网络的应用识别(NBAR)进行监控的功能,允许用户实时检查应用层流量,确定QoS策略对不同级别的应用流量的影响。

监控和排障

在监视器模式中,Cisco SDM为主要的路由器资源和性能评估提供快速的图形状态显示,如接口状态(正常或故障)以及CPU和内存使用情况等。Cisco SDM利用路由器提供的集成路由和安全特性对WAN和VPN连接进行深入诊断和排障。例如,当处理一条故障的VPN线路时,Cisco SDM将验证路由器配置和连接,从WAN接口层直到IPSec加密图层。当在每层测试配置和远程对等连接时,Cisco SDM可提供正常或故障状态报告、可能的故障原因以及思科TAC建议的恢复措施。

Cisco SDM监视器模式还允许用户查看被思科IOS防火墙拒绝的网络访问次数,并支持用户轻松访问防火墙日志。用户还能监控具体的VPN状态,如IPSec隧道加密或解密的分组数量以及Easy VPN客户机会话详情等。

节约成本

Cisco SDM最适用于对设备部署和网络管理成本比较敏感,并且资深技术人员数量有限的大型企业分支机构以及中小型企业。Cisco SDM允许企业及思科渠道伙伴充满自信地轻松实施路由器安全性和网络配置。Cisco SDM生成的Cisco IOS软件配置均通过思科TAC认可。Cisco SDM通过内置的配置检查、面向专家的配置编辑程序以及有用的缺省设置,提高了网络和安全管理员的工作效率。Cisco SDM还能通过减少配置错误实例来提高网络可用性。

对于部署了大型网络的企业来说,Cisco SDM可通过与Cisco CNS配置引擎相集成实现高度可扩展的轻松路由器部署。用户可将Cisco SDM 生成的Cisco IOS软件配置输入到Cisco CNS配置引擎中,进而以cookie-cutter模式一次性部署在数千台思科路由器上。

Cisco SDM和其他思科管理应用

思科还提供可与Cisco SDM一起使用的其他设备和网络管理应用。CiscoView是基于Web的管理应用,可安装在专用的CiscoWorks服务器上,以显示并监控思科设备的物理视图。Cisco SDM 和CiscoView的客户机界面可共存于一台工作站上:Cisco SDM主要用于路由器和安全特性配置;CiscoView主要用于实时显示物理路由器状态,并监控基于简单网络管理协议(SNMP)的设备。

应用

思科路由器初始部署

Cisco SDM可帮助思科合作伙伴及客户利用启动向导和多种基于任务的智能向导,快速安全地部署思科路由器。一步式路由器锁定特性可确保将思科路由器连接到公共互联网或WAN前,关闭Cisco IOS软件上所有不必要的业务。

思科路由器大量部署

Cisco SDM与Cisco CNS 2100系列智能引擎集成,可经济高效地快速实现思科路由器的大量部署(采用工厂缺省配置)。在部署的各个阶段,服务供应商和大型企业具备联合使用Cisco SDM 和Cisco CNS 2100系列产品的灵活性,并允许未经培训的现场管理员下载最终的Cisco IOS软件配置,无需使用Cisco IOS CLI。

思科路由器安全性管理

Cisco SDM可帮助思科合作伙伴及客户轻松部署Cisco IOS软件的安全特性—网络地址转换(NAT)、ACL、防火墙及IPSec VPN等—并将这些安全特性集成到现有的路由器配置和网络基础设施中。Cisco SDM中的智能向导了解路由与安全特性间的相互作用,并就思科TAC经过全面测试后给予认可的最终配置为用户提供指导。Cisco SDM中的CLI预览模式允许专家用户先对最终配置进行人工验证,然后再将其实施到路由器上。

思科路由器运行管理

Cisco SDM可帮助思科合作伙伴及客户使用SSL和SSH,对路由器运行进行全方位的远程安全管理:硬件和软件库存状态、接口状态、防火墙和ACL日志、VPN隧道状态以及最新的系统日志信息等。

结论

Cisco SDM是面向网络和安全管理员的宝贵的工作效率增强工具。思科合作伙伴可利用Cisco SDM,同时为WAN访问和网络安全特性更快速更轻松地部署思科路由器。

思科客户可通过Cisco SDM来利用Cisco SDM生成的配置(此类配置经过思科工程师的端到端测试以及思科TAC的认可),从而降低思科路由器的总拥有成本。Cisco SDM中固有的配置检查功能可帮助减少配置错误实例。

联系我们