网络安全产品

 

思科SDM：易用性和应用智能的结合

思科SDM是一种直观的、基于Web的工具，用于在Cisco IOS路由器上方便地、可靠地部署和管理各种服务。

• 易用性：智能向导，内置教程
• 应用智能：经过TAC认可的IOS配置知识库
• 集成服务管理：路由，交换，安全，QoS

新产品

SDMv2.0：内嵌式服务管理

• 利用思科TAC知识库诊断VPN和WAN
• 路由器服务的集成化管理：路由、交换、安全、QoS
• 基于Web的、便于使用的管理工具集成在所有Cisco 1800、2800和3800系列平台中。

SDMv2.0：内嵌式服务管理（续）

• 新的安全功能
  
  - 内嵌IPS、动态特征库升级和特征定制
  - Easy VPN服务器和AAA
  - 基于角色的路由器访问权限
  - DMVPN：分支到分支，冗余中心
  - 面向IPSec VPN的数字证书
  - SSHv2
• QoS策略和NBAR
• VPN、WAN连接诊断
• 实时的、图形化的路由器和应用流量监控
• 主要UI改进 -- 路由器服务显示面板，基于任务的导航界面

应用智能

 

SDM的关键特性和优势

表1 SDM的关键特性和优势
DM特性	为客户带来的优势
易用性 针对思科路由器的路由、交换、安全、QoS管理的图形化用户界面	通过提高网络和安全管理员的生产率，降低思科路由器的TCO。
应用智能 关于不同IOS功能之间的交互、行业最佳实践和TAC推荐配置的知识	通过降低出现配置错误的可能性，延长网络正常运行时间
实时图形化监控和基于角色的访问权限	有效地发挥IT人员和技术水平有限的远程分支机构管理员的作用
便于理解的路由器和网络资源使用情况图表。只读的用户档案。	服务供应商可以通过为最终客户提供一个图形化的、只读的CPE服务视图，降低OPEX。
WAN和VPN诊断 与关于恢复措施的TAC知识库集成的第二层及其以上的诊断	通过路由器上的路由、LAN、WAN和安全特性的集成，进行详细的故障诊断，从而缩短平均故障修复时间

SDM使用场合

• 思科路由器前期部署
  
  - 针对快速的LAN/WAN设置、基本的路由器安装设置的起步向导
  - 在进行大规模部署时与IE2100/CNS集成
• IOS安全管理
  
  - 集成化的路由和安全配置，监控和诊断
  - 图形化防火墙和ACL策略视图（流量的流向）
  - 带有QoS的IPSec VPN（配置和监控）
  - NAT策略
• 日常路由器管理（监控和诊断）
  
  - 性能监控，接口状态，硬件和软件清单
  - 安全审查，防火墙日志，VPN隧道监控

全面的IOS功能支持

表2 IOS功能
UI功能	起步向导，IOS主页，性能监视器，系统日志浏览器，恢复出厂设置，安全审核，单步路由器锁定
VPN	Easy VPN服务器，Easy VPN Remote，IPSec，基于IPSec的GRE，DMVPN（完全网格/集中星型），V3PN，数字证书，VPN监视器，诊断
防火墙	CBAC，DMZ，防火墙日志，策略表
入侵防范（IPS）	采用动态特征库升级和特征定制功能的IPS
路由	OSPF，EIGRP，RIPv2，静态
接口	10/100/1000以太网，xDSL，串行T1/E1，ISDN BRI，AM
WAN	FR，PPPoE，PPP，HDLC，RFC 1483，拨号备用，ADSL自动检测，QoS，NBAR，诊断
高级配置	NAT，ACL，VLAN，CLI预览模式，DHCP服务器，日期/时间，NTP，DNS，SSHv2，管理权限策略

SDMv2.0的特性和优势

表3 SDMv2.0的特性和优势
SDMv2.0的特性	为客户带来的优势
Easy VPN服务器 基于向导的配置和对远程接入VPN用户的实时监控。与路由器上的或者远程的AAA服务器集成。	在中心路由器或者分支机构接入路由器上为远程办公人员或者小型办公室提供可扩展的、便于管理的、安全的远程接入服务
入侵防范（IPS） 动态特征库升级，缺省特征库的迅速部署，定制特征的能力，在特征部署之前对路由器资源进行检验	基于网络的防范措施可以有效地防御和制止蠕虫、病毒和OS/协议漏洞攻击。 为零日防范定制攻击特征，防御蠕虫/病毒的新型变种
基于角色的访问权限 出厂缺省设置中设定的角色：管理员，只读，防火墙，Easy VPN Remote	在网络业务、安全业务和最终用户之间安全地、合理地划分路由器 MSSP可以为最终客户提供CPE服务的图形化只读视图
WAN和VPN诊断 与关于恢复措施的TAC知识库集成的第二层及其以上的诊断	通过路由器上的路由、LAN、WAN和安全特性的集成，详细地诊断IPSec VPN或者WAN连接
QoS策略 3个预先定义的种类：实时，关键业务，尽力而为	方便地、有效地针对不同的业务需求（话音/视频、企业应用、Web等）优化WAN/VPN带宽和应用性能
NBAR 应用流量性能监控	根据预定的服务策略，实时地检验WAN/VPN带宽的应用使用情况。
SSHv2 自动为SDM和路由器之间的所有加密通信使用SSHv2	PC和思科路由器之间的安全管理。
基于任务的SDM UI 新设计的主页，关键安全任务的统一起点，相关任务之间的最佳导航	更加快捷地配置安全功能 -- IPSec VPN、防火墙、ACL、IPS等。
实时网络和路由器资源监控 LAN/WAN流量和带宽使用情况的图形化视图。	更加快捷地分析路由器资源和网络资源的使用情况。
数字证书	比预先共享密钥更加便于扩展、更加安全的解决方案。通过SDM、IOS CA和EzSDD的组合，现在变得更加便于使用和部署。

思科路由器和IOS版本支持

表4 思科路由器和IOS版本支持
SDM支持的平台	支持SDM的最低IOS版本
831, 836, 837	12.2(13)ZH, 12.3.2XA, 12.3(2)T
1701, 1711, 1712 1710, 1721, 1751, 1751-v, 1760, 1760-v	12.2(15)ZL, 12.3.2XA, 12.2(13)ZH, 12.2(13)T3
1841	12.3(8)T4
2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691	12.2(11)T6 , 12.3(1)M, 12.3(2)T
2801, 2811, 2821, 2851	12.3(8)T4
3620, 3640, 3640A, 3661, 3662	12.2(11)T6, 12.3(1)M, 12.3(2)T
3725, 3745	12.2(11)T6, 12.3(1)M, 12.3(2)T
3825, 3845	12.3(11)T
7204VXR, 7206VXR, 7301	12.3(2)T, 12.3(3)M

思科SDM的上市情况和订购

表5 思科SDM的上市情况和订购
Cisco 1800、2800和3800系列路由器（所有SKU，包括捆绑）	出厂时预装SDM
所有VPN捆绑： 1700，2600XM，2691，3700，7204VXR，7206VXR，7301	出厂时预装SDM
1700到3700系列（非捆绑SKU） 所有具有K8、K9或者FW/IDS功能的IOS功能集	出厂时预装SDM
830到3700路由器SKU （在出厂时没有自动加载SDM）	路由器－SDM 可配置选项 （定价0美元）

可以从CCO下载针对现有路由器的SDM，网址是：
http://www.cisco.com/cgi-bin/tablebuild.pl/sdm