CISCO产品培训资料(4).ppt

,防火墙策略视图,ipsec vpn 向导,入侵防御 (ips),服务质量 (qos) 策略,在 cisco 推荐的 qos 结构中构建基于向导的 qos 策略配置,无线接口管理,lan/wan 接口监控,vpn 故障排除,qos 策略、应用通信监控,syslog 及防火墙日志监控,sdm 可为客户和合作伙伴带来的益处,二、安全产品,1、pix,2、asa5500,安全产品pix,internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如unix时本身具有安全风险等。 而cisco secure pix防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（asa）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。 asa可以跟踪源和目的地址、传输控制协议（tcp）序列号、端口号和每个数据包的附加tcp标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过cisco secure pix防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。 另外，实时嵌入式系统还能进一步提高cisco secure pix防火墙系列的安全性。虽然unix服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的 cisco secure pix防火墙是为了实现安全、高性能的保护而专门设计。,安全产品pix,安全产品pix,经过市场检验的安全功能和vpn接入 可升级性和安全服务可扩展性 降低了部署和运营成本 适用于较大规模的部署 采用了思科自防御网络的组件 anti-x 防御 应用安全 网络控制和抑制 安全连接,一个高性能、多功能的安全设备系列,安全产品- asa 5500 系列自适应安全设备,安全产品-asa 5510/5520/5540 系列产品导览,安全产品-asa 5500 系列融合多种先进的网络安全技术,防火墙技术 cisco pix,ips 技术 cisco ips,nw-av技术 cisco ips, av,vpn技术 cisco vpn 3000,网络智能 思科网络服务,应用检测，用途实施，web控制 应用安全,恶意软件/内容防范, 异常检测 anti-x 防御,流量/准入控制, 主动响应 网络抑制和控制,安全连接 ipsec & ssl vpn,业界领先的网络安全技术,自适应安全防御保证网络连接的安全性,cisco asa 5500 series product lineup solutions ranging from smb to large enterprise,performance max firewall max con. threat mitigation max ipsec vpn,smb and sme,target market,base platform services,enterprise,large enterprise,300 mbps 150 mbps 170 mbps,450 mbps 375 mbps 225 mbps,650 mbps 450 mbps 325 mbps,app fw, ipsec and ssl vpn, and more a/s ha (upg.), 3 fe to 5 fe,same as 5510, plus a/a failover, vpn clustering, 4 ge + 1 fe,same as 5520, with higher performance and scalability,asa技术参数,cisco asa 5500 series firewall edition bundles,总结: 中小企业网络方案构建思路 - 思科安全方案设计举例,总结: 中小企业网络方案构建思路 - 思科安全方案设计举例: 网络流量监测,防范恶意攻击,三、无线产品,1、第二代无线产品 “胖” ap （access point 无线接入点） 适用于无线网络较小的环境，网桥适用于室外两栋楼桥接。 2、第三代无线产品 “瘦”ap+接入控制器+wcs 适用于规模较大网络环境（高校、大型企业）,第二代无线局域网架构,企业骨干,校园网 二/三层交换机,企业骨干,有线网,802.11 network (依赖ap来实现所有无线局域网的功能),安全, qos, vpn 端结 802.11 mac, 802.11 radio,poe,安全, qos, vpn 端结 802.11 mac, 802.11 radio,例子 : cisco aironet 1200/1400,- ap是否有足够处理能力支援802.11i 安全漏洞，无线网配置储存在ap 不能提供真正的安全移动 没有无线入侵侦测保护系统,fat/smart access point: 单一cpu结构实现所有无线局域网的功能,第三代无线局域网架构,企业骨干网络,802.11 mac (portion) 802.11 phy & radio,转移到 wlan 交换机,radio,802.11 phy,802.11 mac,ip,mobile ip, ipsec,802.11i 802.11e, 802.1f 802.11h,以太交换机 (网络边缘),access point,无线局域网控制器,fat/thin ap功能区别,集中式网络结构解决无线局域网安全和成本过高的问题,“thin” access points,集中式 无线局域网交换机,“fat” access points,无线局域网控制器型号,cisco 2000系列无线局域网控制器,cisco 4100系列无线局域网控制器,cisco 4400系列无线局域网控制器,它可支持多达6个轻型接入点， 是用于小型楼宇的经济有效的解决方案。,4112-可支持12 个ap. 4124-可支持24 个ap. 4136-36个ap。 cisco 4100系列提供了单一千兆以太网上行链路,4402-带2个千兆以太网端口，其配置可支持12、25和50个ap. 4404-带4个千兆以太网端口，支持100个ap,思科中小规模集中式无线局域网产品简介: - 集成于思科路由器的无线控制器网络模块,网络模块, 用于cisco 2800/3700/3800路由器 每个模块最多支持6个无线接入点, 提供最高75 mbps 吞吐量 消除以往需要单独对每个无线接入点进行配置管理和监视工作 可以配合思科wcs以实现集中式的策略管理和监控, 可以满足只有很少it人员的企业对其成百的远程分支的管理需求 可以支持提供lwapp协议支持的无线接入点, 包括对应的思科aironet和airspace无线接入点,思科wlan控制器网络模块 wlcm方便smb和企业分支以实惠的价格部署和管理安全的无线网络,wlcm,思科无线ap型号,cisco aironet 1300系列无线户外接入点/网桥， 是802.11g接入点和无线网桥，,cisco aironet 1000系列轻型ap与无线控制器和无线控制系统管理工具配合使用。 它们可以提供对802.11a、802.11b和802.11g的双频支持，,cisco aironet 1400系列802.11a无线网桥,1200ap，支持802.11a和802.11b技术,1100ap，支持802.11b技术,知名的客户 - 跨越不同的地区和领域,保健/医疗,企业,科技,金融,电信,教育,在全球有不同领域的企业采用无线产品 无线局域网市场分析,第三代无线网络应用环境,1,2,3,core,distribution,access,data center,3,3,2,2,1,1,4,4,5,5,101,102,103,102,102,103,103,101,101,employee,employee,employee,floor 1,floor 2,floor 3,202,202,203,203,201,201,guest,guest,guest,202,203,201,1,1,2,2,3,3,无线接入控制器,radius,四、ip通信产品,cisco 2800/3800 ip通讯应用方案 - voice support: 2801 and 2811,hwic,vwic,fe,fe,hwic,vwic,2801,dsp,usb,2 pvdm dsp slots,2801,3 voice interface capable hwic/wic/vic slots,vic/vwic slot voice only,vpn & v3pn 4 mbps,ip phone power (optional),2 pvdm dsp slots,ip phone power 160w,2811,vpn & v3pn 10 mbps,4 voice interface capable hwic/wic/vic slots,cisco 2800/3800 ip通讯功能增强 - voice support: 2821 and 2851,3 pvdm dsp slots,ip phone power 240w,vpn & v3pn 15 mbps,2821,4 voice interface capable hwic/wic/vic slots,high density extension module,cisco 2800/3800 ip通讯功能增强 - voice support: 3825, 3845,3825,vpn & v3pn 38 mbps,ip phone power 360w,4 pvdm dsp slots,4 voice interface capable hwic/wic/vic slots,3825: max 1 evm-hd,vpn & v3pn 50 mbps,3845,4 pvdm dsp slots,3845: max 2 evm-hd,high density extension module or nme,cisco 2800/3800 voip增强 - 扩展话音模块 (evm-hd),evm 卡 (带扩展模块) 支持高密度 fxs, fxo, analog-did 和bri 端口 在架构上与 nm-hda 类似且共享 em 主板: evm-hd-8fxs/did: 高密度 话音/传真 扩展模块 8fxs/did 扩展模块: em-hda-8fxs: 8端口话音/传真 扩展模块8fxs em-4bri-nt/te: 4端口话音/传真 扩展模块bri (nt& te) em-hda-3fxs/4fxo: 7端口话音/传真 扩展模块3fxs/4fxo em-hda-6fxo: 6端口话音/传真 扩展模块6fxo,rj21 连接器,em 0,em 1,中小企业ip通讯方案设计考虑 中小规模用户语音信箱服务 :cisco unity express,voice message storage: 100 hours session/port capacity 8 or 16 up to 120 mailboxes supported,voice message storage: up to 14 hours beginning with release 2.0 session/port capacity 4 or 6 depending on router up to 65 mailboxes supported,nm-cue or nm-cue-ec,aim-cue,fully self-contained, on board memory, processing and storage supported on the cisco 2800 and 3800 integrated services routers, plus 2691, 2600xm and 3700 series access routers,中小企业ip通讯方案设计考虑 分支路由器的选型,cisco 2801,cisco 2811,cisco 2821,cisco 2851,cisco 3825,cisco 3845,cme: 24 srst:24,cme: 36 srst:36,cme: 48 srst:48,cme: 96 srst:96,cme: 168 srst:336,cme: 240 srst:720,接口与 dso 密度,路由+交换+qos+安全+话音+管理,cisco ip phone 7905g and cisco ip phone 7911g/7912g pixel display single line four dynamic “soft keys” cisco ip phone 7912g has integrated ethernet switch,cisco ip phone 7941g/7961g large pixel display with 2 or 6 lines four dynamic “soft keys” built-in headset port high-quality speaker phone integrated ethernet switch,cisco ata 186/188 2 fxs ports (phone or fax) 1 rj-45 10baset uplink (cisco 186 ata) 1 rj-45 10/100baset data port (cisco ata 188),cisco ip conference station 7936 high-quality speaker hands-free conference phone three dynamic “soft keys” optional external mics,中小企业ip通讯方案设计考虑 思科ip 电话机 和网关系列,cisco ip phone 7902g single line fixed features,cisco ip phone 7970g/7971g-ge color display with touchscreen large pixel display with 8 lines five dynamic “soft keys” high-quality speaker phone integrated ethernet switch 10/100 or 10/100/1000,cisco vg 224 1ru with 24 fxs ports 2 rj-45 10/100 links supports h.323 or sccp analog phone, modem, fax,cisco ip expansion module 7914 attendant console solution up to 34 possible buttons monitor, manage, and cover calls,cisco wireless ip phone 7920 802.11b wireless ip phone 6 extensions / speed dials standard and extended lithium-ion batteries,分支机构a,分支机构b,总部,pstn,wan,cisco 2800,cisco 2800,cisco 3800,普通电话和传真,中小企业ip通讯方案设计和设备选型推荐: - ip通讯方案: 小规模本地呼叫处