產(chǎn)品概述一般問題問：目前推出了哪些新的集成多業(yè)務(wù)路由器產(chǎn)品，它們部署在網(wǎng)絡(luò)中的哪些地方？

答：目前，思科系統(tǒng)？公司正在用能夠提供安全的數(shù)據(jù)、語音和視頻服務(wù)的新型集成多業(yè)務(wù)路由器重新定義最佳路由功能。憑借思科20多年來的領(lǐng)先地位和創(chuàng)新傳統(tǒng)，固定配置的Cisco 800、1800，和模塊化的Cisco 1800、2800、3800集成多業(yè)務(wù)路由器不但能提供業(yè)界最全面的安全服務(wù)，還能智能地在單一永續(xù)系統(tǒng)中嵌入數(shù)據(jù)、安全和語音技術(shù)，以可擴(kuò)展的快速方式提供關(guān)鍵業(yè)務(wù)應(yīng)用。Cisco 800、1800、2800和3800系列適用于小企業(yè)和大型企業(yè)的分支機(jī)構(gòu)，提供了一種功能豐富的集成解決方案，便于連接遠(yuǎn)程辦公機(jī)構(gòu)、移動(dòng)用戶、合作伙伴外部網(wǎng)或電信運(yùn)營商管理的客戶端設(shè)備（CPE）。

思科的集成多業(yè)務(wù)路由器能夠透明地與Cisco 7000系列路由器在總部網(wǎng)絡(luò)邊緣互操作。不僅如此，Cisco 7200系列和7301匯聚路由器還能使用相同的Cisco IOS？ 軟件創(chuàng)新、全面的高級(jí)安全特性，因而使客戶能夠建立真正有效的集成式端到端智能信息網(wǎng)絡(luò)。憑借用于企業(yè)數(shù)據(jù)中心的Cisco 7600系列路由器，客戶可擁有一個(gè)具有高可擴(kuò)展性、模塊化的VPN和集成化安全解決方案。

思科集成多業(yè)務(wù)路由器是思科自防御網(wǎng)絡(luò)的一個(gè)主要組件，使客戶可實(shí)現(xiàn)路由和安全策略的同步，降低運(yùn)營成本，并提高整個(gè)網(wǎng)絡(luò)的安全性。利用基于Cisco IOS軟件的VPN、防火墻和入侵防御系統(tǒng)（IPS），以及可選的增強(qiáng)VPN加速、入侵檢測系統(tǒng)（IDS）和內(nèi)容引擎網(wǎng)絡(luò)模塊（Cisco 2800和3800系列），思科為分支機(jī)構(gòu)路由器提供了業(yè)界最為強(qiáng)大的自適應(yīng)安全解決方案。

問：集成化路由器安全解決方案的優(yōu)勢是什么？

答：集成化路由器安全解決方案采用了PIX？技術(shù)和IDS傳感器技術(shù)，將強(qiáng)大的Cisco IOS 軟件功能與業(yè)界領(lǐng)先的LAN/WAN連接和世界級(jí)安全特性相結(jié)合。

通過將Cisco IOS軟件安全集成到路由器中，能夠?yàn)榭蛻籼峁┮韵聝?yōu)勢：

“充分利用已有設(shè)施” —— 充分利用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施，無需添置硬件，就能通過Cisco IOS 軟件在路由器上實(shí)施新的安全特性；

“將安全功能部署到最需要的地點(diǎn)” —— 靈活地將防火墻、IPS和VPN等安全功能應(yīng)用到網(wǎng)絡(luò)的任意位置，以提高安全保護(hù)能力；

“保護(hù)網(wǎng)關(guān)” —— 可在網(wǎng)絡(luò)的所有入口處部署最佳安全功能；

“節(jié)省資金和時(shí)間” —— 減少設(shè)備數(shù)量，從而降低了培訓(xùn)和管理成本；

“保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施” —— 保護(hù)路由器，防御直接針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊，例如分布式拒絕服務(wù)（DDoS）攻擊。

問：Cisco 800、1800、2800和3800集成多業(yè)務(wù)路由器在安全功能方面有什么區(qū)別？

答：在Cisco 800、1800、2800和3800集成多業(yè)務(wù)路由器的設(shè)計(jì)中，基于硬件的加密是一個(gè)標(biāo)準(zhǔn)特性，從而在每個(gè)路由器中部署了安全特性。這種內(nèi)部的基于硬件加密加速使CPU無需再執(zhí)行VPN流程，在對(duì)路由器CPU影響最小的情況下提高了VPN吞吐率。如需更高VPN吞吐率或可擴(kuò)展性，還可選擇VPN加密高級(jí)集成模塊（AIM）。這些路由器也能以與相應(yīng)的Cisco IOS軟件安全鏡像相捆綁的形式提供，為客戶提供豐富、集成的路由和安全軟件包。補(bǔ)充型Cisco 7000高端解決方案也支持安全捆綁。如需完整的可用路由器安全捆綁列表，請(qǐng)?jiān)L問http://www.cisco.com/go/routersecurity.

思科自防御網(wǎng)絡(luò)問：集成多業(yè)務(wù)路由器還有哪些安全功能？

答：作為思科自防御網(wǎng)絡(luò)的有機(jī)組成部分，Cisco 800、1800、2800和3800路由器支持范圍廣泛的安全特性，思科自防御網(wǎng)絡(luò)是一種能夠幫助各機(jī)構(gòu)識(shí)別、預(yù)防和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的戰(zhàn)略。

問：思科自防御網(wǎng)絡(luò)戰(zhàn)略有哪些關(guān)鍵組件？

答：思科自防御網(wǎng)絡(luò)是建立在集成化安全、協(xié)作式安全系統(tǒng)和自適應(yīng)威脅防御基礎(chǔ)之上，以網(wǎng)絡(luò)基礎(chǔ)保護(hù)為底層的支持結(jié)構(gòu)。

SDN集成化安全使每個(gè)網(wǎng)絡(luò)元素都成為防御點(diǎn)，這其中包括路由器、交換機(jī)、設(shè)備和終端，從而為網(wǎng)絡(luò)安全帶來了革命性的改變。集成化安全使路由器成為了保護(hù)網(wǎng)絡(luò)的關(guān)鍵設(shè)備，其核心因素包括：安全連接、威脅防御，以及信任和身份識(shí)別。
安全連接 —— 提供便于擴(kuò)展、可傳輸多種流量的安全網(wǎng)絡(luò)連接。例如VPN、動(dòng)態(tài)多點(diǎn)VPN（DMVPN）、多虛擬路徑轉(zhuǎn)發(fā)（VRF）和多協(xié)議標(biāo)簽交換（MPLS）安全環(huán)境、語音和視頻型VPN（V3PN）以及高度安全語音等。

威脅防御 —— 利用網(wǎng)絡(luò)服務(wù)預(yù)防網(wǎng)絡(luò)攻擊和威脅并對(duì)其作出相應(yīng)。包括Cisco IOS IPS和Cisco IOS防火墻。

信任和身份識(shí)別 —— 利用驗(yàn)證、授權(quán)和記帳（AAA），公共交換密鑰（PKI）及802.1x等技術(shù)，使網(wǎng)絡(luò)能夠智能地保護(hù)終端。

憑借SDN協(xié)作安全系統(tǒng)，安全成為了一個(gè)全網(wǎng)系統(tǒng)，包括終端、網(wǎng)絡(luò)和策略。例如網(wǎng)絡(luò)準(zhǔn)入控制（NAC）等解決方案，其中多項(xiàng)服務(wù)和設(shè)備相互協(xié)作，通過主動(dòng)管理而防御攻擊。

SDN自適應(yīng)威脅防御（ATD）可動(dòng)態(tài)防御多個(gè)層次的威脅，更為緊密地控制網(wǎng)絡(luò)流量、終端、用戶和應(yīng)用，從而進(jìn)一步降低了安全風(fēng)險(xiǎn)。ATD將服務(wù)整合到少數(shù)幾個(gè)設(shè)備上，從而簡化了架構(gòu)設(shè)計(jì)并降低了運(yùn)營成本。這種創(chuàng)新方式在高性能解決方案中將安全、多層智能、應(yīng)用保護(hù)，以及網(wǎng)絡(luò)級(jí)控制和威脅抑制進(jìn)行了出色的結(jié)合。ATD的主要組件包括Anti-X防御、應(yīng)用安全，以及網(wǎng)絡(luò)控制和抑制，實(shí)現(xiàn)了經(jīng)過更出色協(xié)調(diào)的威脅防御

Anti-X防御 — 通過創(chuàng)新的流量和內(nèi)容導(dǎo)向安全服務(wù)，防御和應(yīng)對(duì)網(wǎng)絡(luò)威脅。核心安全增強(qiáng)技術(shù)包括防火墻、入侵防御系統(tǒng)（IPS）和異常事件檢測，它們可與應(yīng)用檢測服務(wù)，如網(wǎng)絡(luò)防病毒、防間諜軟件、防垃圾郵件、分布式拒絕服務(wù)（DDoS）防御和URL過濾等相結(jié)合。這為重要的網(wǎng)絡(luò)安全實(shí)施點(diǎn)提供了精確的流量檢測服務(wù)，因此可將非法流量在網(wǎng)絡(luò)中廣泛傳播前抑制它們。

例如：通過高級(jí)應(yīng)用檢測和控制來保護(hù)Web服務(wù)器免遭損害－HTTP和電子郵件檢測引擎可阻止用戶在Web服務(wù)器上書寫或放置內(nèi)容。

應(yīng)用安全－通過應(yīng)用級(jí)訪問控制、應(yīng)用檢測，以及正確的應(yīng)用使用策略、Web應(yīng)用控制和交易保密性等的實(shí)施，提供了先進(jìn)的業(yè)務(wù)應(yīng)用保護(hù)。

例如：通過內(nèi)部入侵防御來抵御網(wǎng)絡(luò)邊緣處的蠕蟲－特征定制和字符串引擎支持可在邊緣抵御蠕蟲的攻擊（防Spyware、防Malware等）。

網(wǎng)絡(luò)控制和抑制－網(wǎng)絡(luò)智能和安全技術(shù)的虛擬化提供了先進(jìn)的審查和關(guān)聯(lián)功能，可通過主動(dòng)管理和防御功能，控制和保護(hù)IP語音（VoIP）等網(wǎng)絡(luò)組件或服務(wù)。

例如：通過VRF感知型防火墻在保持業(yè)務(wù)連續(xù)性的同時(shí)實(shí)現(xiàn)最高安全性 — 針對(duì)每個(gè)上下關(guān)聯(lián)的防火墻策略使用戶可按部門定制安全策略，而不會(huì)干擾工作流程。

網(wǎng)絡(luò)基礎(chǔ)保護(hù)（NFP）是思科自防御網(wǎng)絡(luò)的一個(gè)不可缺少的常用組件，可保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭攻擊和安全漏洞的影響，尤其在網(wǎng)絡(luò)級(jí)，這一功能尤為明顯。實(shí)例包括控制平面監(jiān)管、基于網(wǎng)絡(luò)的應(yīng)用識(shí)別（NBAR）和AutoSecure等。

問：作為思科自防御網(wǎng)絡(luò)戰(zhàn)略和自適應(yīng)威脅防御的一部分，路由器最近有了哪些改進(jìn)？

答：隨著12.3（14）T Cisco IOS Firewall的面世，思科繼續(xù)實(shí)施自防御網(wǎng)絡(luò)安全戰(zhàn)略的下一階段，針對(duì)基于應(yīng)用的潛在攻擊和應(yīng)用誤用而提供高級(jí)應(yīng)用檢測和控制。Cisco IOS 12.3（14）T版本中的增強(qiáng)內(nèi)部IPS功能提升了防御新威脅類別的能力，新威脅包括間諜軟件、網(wǎng)絡(luò)病毒和與IM應(yīng)用相關(guān)的Malware，大大提高了防御蠕蟲和病毒攻擊的功能。對(duì)虛擬防火墻的支持降低了運(yùn)營成本，而對(duì)虛擬隧道接口（VTI）的支持則簡化了VPN的配置和管理。

問：這些安全功能是否也適用于高端路由器？

答：是。思科自防御網(wǎng)絡(luò)不僅限于分支機(jī)構(gòu)使用。它可通過Cisco 7000擴(kuò)展到總部，提供端到端保護(hù)。

問：是否有安全特性支持Cisco 1700、2600和3700系列路由器，而不支持集成多業(yè)務(wù)路由器？

答：沒有，集成多業(yè)務(wù)路由器構(gòu)建在Cisco 1700、2600和3700特性集的基礎(chǔ)之上，且通過硬件和軟件進(jìn)行了增強(qiáng)，提供更為強(qiáng)大的安全解決方案。

Cisco IPSec VPN問：集成多業(yè)務(wù)路由器上支持哪些類型的VPN？

答：集成多業(yè)務(wù)路由器提供IPSec加密和隧道協(xié)議，如數(shù)字加密標(biāo)準(zhǔn)（DES）、三重DES（3DES）、高級(jí)加密標(biāo)準(zhǔn)（AES）、通用路由封裝（GRE）、第二層轉(zhuǎn)發(fā)（L2F）、L2TP、Cisco Easy VPN、V3PN、DMVPN、多VPN路由和轉(zhuǎn)發(fā)（多VRF），以及多協(xié)議標(biāo)簽交換（MPLS）安全環(huán)境。

問：高端路由器是否具備這些特性？

答：盡管它們不使用板載技術(shù)，Cisco 7200系列、Cisco 7301和Cisco 7600系列路由器仍支持前面列出的所有VPN特性。

問：還有哪些特性提高了基于路由器的IPSec VPN的可擴(kuò)展性和安全性？

答：集成的Cisco IOS證書授權(quán)服務(wù)器提供了一種在IPSec基礎(chǔ)設(shè)施上在內(nèi)部簡單地實(shí)現(xiàn)數(shù)字證書安全性的方式。安全設(shè)備配置為部署遠(yuǎn)程站點(diǎn)的安全配置和數(shù)字證書提供了一種自動(dòng)化程度較高的機(jī)制。

問：內(nèi)部和VPN加密AIM有哪些主要特性？

答：Cisco 800、1800、2800和3800系列路由器采用了內(nèi)部硬件加密加速，使主處理器無需再處理IPSec（AES，DES和3DES）加密和VPN流程，在盡量不影響路由器CPU的情況下提高了VPN的吞吐率。如果還需要提高VPN吞吐率或擴(kuò)展能力，可以選擇添加VPN加密AIM.利用這種方式，可以提高VPN的性能，且降低路由器CPU總體使用率。與以前的型號(hào)相比，可選AIM能夠提高加密性能和擴(kuò)展能力。內(nèi)部VPN加速器和基于AIM的VPN加速器的主要特性包括：

能夠以數(shù)倍于全雙工T3/E3的速度對(duì)IPSec加速；

為所有模塊（內(nèi)部和AIM）提高硬件加速DES、3DES和AES（128、192和256）加密算法；

加速器支持Rivest、Shamir、Aldeman（RSA）算法特征和Diffie-Hellman驗(yàn)證；

加速器利用安全散列算法1（SHA-1）或消息摘要算法5（MD5）散列算法保證數(shù)據(jù)完整性；

加速器添加了VPN加密模塊，在硬件中支持第三層（IP負(fù)載壓縮協(xié)議[IPPCP]）壓縮。

除通用IPSec外，集成多業(yè)務(wù)路由器還可結(jié)合使用IPSec和GRE，這是思科獨(dú)家開發(fā)的解決方案，由于能夠通過VPN傳輸動(dòng)態(tài)路由協(xié)議，因而此隧道技術(shù)提供了高于純IPSec解決方案的網(wǎng)絡(luò)永續(xù)性。利用支持IPSec的GRE，思科集成多業(yè)務(wù)路由器不但支持AppleTalk和Novell互聯(lián)網(wǎng)分組交換（IPX）等協(xié)議，還支持視頻等組播和廣播應(yīng)用。

問：要使用內(nèi)部和AIM VPN加密功能，需哪些特性集？

答：如需使用內(nèi)部或AIM VPN加密功能，需以下Cisco IOS軟件特性集：

高級(jí)企業(yè)服務(wù)

高級(jí)IP服務(wù)

高級(jí)安全如果想詳細(xì)了解相應(yīng)特性集的選擇方法，請(qǐng)?jiān)L問：http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/prod_bulletin09186a00801af451.html.

問：在沒有VPN加密AIM的情況下，集成多業(yè)務(wù)路由器是否支持IPSec加密？

答：支持，集成多業(yè)務(wù)路由器具有內(nèi)部VPN加速。通過VPN加密AIM，可獲得更高性能和擴(kuò)展性。

問：集成多業(yè)務(wù)路由器可使用哪些加密AIM？

答：表1列出了模塊化Cisco 1800、2800和3800系列平臺(tái)上支持的AIM.

（責(zé)任編輯: 51CTO.com TEL：010-68476606)