思科端口是什么

端口是什么  时间:2021-02-21  阅读:()

2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
数据表第1页,共19页CISCOASR1000系列路由器网络安全特性本数据表概括介绍了CiscoASR1000系列汇聚多业务路由器可提供的网络安全特性.
产品概述与五年前相比,当前业务应用的采用速度显著提升.
随着业务需求的增长和技术的改进,网络已从一种基本连接公用设施演变成一个服务交付平台.
在快速演进的环境下,企业总部愈加迫切地需要在全球范围内扩展广域网(WAN)和城域网(MAN)服务,同时确保安全性、性能和网络正常运行时间不会受到影响.
满足上述需求并最大限度地降低运营复杂性和成本是一项持续挑战,而集成的架构方案可帮助克服这一挑战.
为了推动上述趋势的发展,思科集成的路由安全性可提供全面的安全服务,智能地嵌入路由和安全特性,帮助快速、可靠地交付关键任务型业务应用.
CiscoASR1000系列路由器能够提供经济高效、可扩展、与安全性紧密集成的WAN和MAN服务聚合,将企业资源安全地扩展至远程站点、业务合作伙伴、远程工作人员和移动办公者.
图1.
展示了CiscoASR1000系列路由器产品组合.
CiscoASR1000系列路由器是业内首款高度可扩展的WAN和互联网边缘路由器平台,可为VPN、防火墙、基于网络的应用识别(NBAR)、NetFlow、服务质量(QoS)、IP多播、访问控制列表(ACL)、反向路径转发(RPF)和基于策略的路由(PBR)等思科IOS软件服务提供嵌入式硬件加速功能,无需配置单独的服务模组.
此外,CiscoASR1000系列路由器经专门设计,配有冗余路由处理器和嵌入式服务处理器,同时还具备基于软件的冗余性,达到了商业级别的弹性.
在启用了相关服务的情况下,CiscoASR1000系列路由器的路由性能和IP安全(IPsec)VPN及防火墙加速功能是先前中端汇聚路由器的20倍.
它们能够以经济高效、成熟的方法满足最新的服务聚合要求,并充分利用现有网络设计和最佳运营实践.
DataSheet2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page1of19NetworkSecurityFeaturesforCiscoASR1000SeriesRoutersThisdatasheetprovidesanoverviewofthenetworksecurityfeaturesavailableonCiscoASR1000SeriesAggregationServicesRouters.
ProductOverviewBusinessapplicationadoptionishappeningmuchmorequicklytodaythanfiveyearsago.
Asbusinessdemandshaveintensifiedandtechnologyhasadvanced,thenetworkhasevolvedfromabasicconnectionutilitytoaservice-deliveryplatform.
Moreandmore,enterpriseheadquartersneedtoextendWANandmetropolitan-areanetwork(MAN)servicesgloballyinarapidlyevolvingenvironment,withoutriskingsecurity,performance,andnetworkuptime.
Meetingthoseneedswhileminimizingoperationalcomplexityandcostisanongoingchallenge.
Anintegratedarchitecturalapproachcanhelpaddressthischallenge.
Inordertohelpenablethistrend,Ciscointegratedroutersecuritydeliverscomprehensivesecurityservices,intelligentlyembeddingroutingandsecurityfunctionsforfast,scalabledeliveryofmission-criticalbusinessapplications.
CiscoASR1000SeriesRoutersoffercost-effectiveyetscalableWANandMANservicesaggregationintegratedwithsecurity,facilitatingsecureextensionofbusinessresourcestoremotesites,businesspartners,teleworkers,andmobileworkers.
Figure1showstheportfolioofCiscoASR1000SeriesRouters.
Figure1.
CiscoASR1000SeriesRouterPortfolioTheCiscoASR1000SeriesRouteristheindustry'sfirsthighlyscalableWANandInternetedgerouterplatformthatdeliversembeddedhardwareaccelerationforCiscoIOSSoftwareservicessuchasVPN,firewall,Network-BasedApplicationRecognition(NBAR),NetFlow,qualityofservice(QoS),IPMulticast,accesscontrollists(ACLs),ReversePathForwarding(RPF),andPolicy-BasedRouting(PBR),withouttheneedforseparateserviceblades.
Inaddition,theCiscoASR1000SeriesRouterisdesignedforbusiness-classresiliency,featuringredundantrouteprocessorsandembeddedservicesprocessors,aswellassoftware-basedredundancy.
WithroutingperformanceandIPSecurity(IPsec)VPNandfirewallaccelerationupto20timesthatofpreviousmidrangeaggregationrouterswithservicesenabled,theCiscoASR1000SeriesRoutersprovideacost-effectiveapproachtomeetthelatestservicesaggregationrequirement,accomplishedwhiletakingadvantageofexistingnetworkdesignsandoperationalbestpractices.
数据表第2页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
CiscoASR1000系列路由器采用业界首款可扩展且可编程的应用感知网络处理器,即思科QuantumFlow处理器,将WAN和MAN服务聚合与网络安全特性相结合,可为客户带来以下优势:高度可扩展的站点到站点和远程访问VPN聚合,以及高级QoS和IP多播集成先进的周边安全性、应用可视性和高速记录功能检测并应对企业服务器和其它资源可能受到的分布式拒绝服务(DDoS)攻击边缘路由器内建的控制平面分离和保护功能可提供较高的弹性级别,确保目标路由器的可用性可与未来版本相兼容的架构:能够在保留平台机箱和其它组件的同时,提升吞吐率或增加服务将多种服务聚合至单个平台中,进而简化运营流程,降低培训成本应用场景可扩展、安全的多服务聚合在总部聚合站点中,CiscoASR1000系列路由器位于思科7200和7301路由器与思科7600系列路由器和CiscoCatalyst6500系列交换机之间.
思科7200和7301路由器同样基于嵌入式服务聚合,有助针对中小型网络执行经济高效的WAN聚合,不过在有服务运行的情况下,性能与可扩展性仅限于OC-3速度级别.
思科7600系列路由器和CiscoCatalyst6500系列交换机的性能最高可扩展至400mpps(每秒百万包数),在架构上,它们依赖插件服务模组来实现加速,这虽然会触发额外成本,不过却能够为大型企业带来高度可扩展的WAN和MAN聚合.
过去,高性能安全服务总是要求部署额外硬件——添加设备或在路由器或交换机内添加服务模组.

借助创新的思科QuantumFlow处理器,CiscoASR系列路由器在启用高性能服务的条件下,无需添加额外硬件或服务模组便可维持高达20mpps的性能提升.
该性能级别高达思科7200和7301的20倍,同时还可借助网络服务集成降低复杂性与成本.
多服务聚合部署的主要优势包括:嵌入式服务架构无需针对加密、防火墙和服务质量(QoS)等网络和安全功能配置额外的服务模组,并为执行经济高效、高度灵活和可扩展的多服务聚合奠定了良好的基础,可帮助IT人员迅速应对不断变化的WAN要求.
数据表第3页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
可与未来版本相兼容的架构能够轻松地扩展带宽以实施加密等其它服务,只需更换CiscoASR1000系列嵌入式服务处理器(ESP)即可,机箱和其它组件全部保持原样.
多服务聚合部署致力于以可扩展、优化的方式将QoS和IP多播与VPN集成在一起,进而实施大规模的语音和视频集成.
该解决方案能够提供高可扩展性和性能:最多支持4000条站点间隧道和7千兆位/秒(Gbps)的加密速度(20Gbps嵌入式服务处理器[ESP20]).
该解决方案能够通过硬件冗余(CiscoASR1000系列路由处理器1[RP1]、路由处理器2[RP2]和ESP)和思科IOS软件冗余的形式提供出色的可用性.
下一代分支机构和托管客户端设备在远程分支机构中,作为思科取得巨大成功的集成多业务路由器产品组合的最新成员,思科第二代集成多业务路由器(ISRG2)家族采用思科1900、2900和3900系列平台,能够提供行业领先的服务集成水平.
CiscoASR1002-F和1002路由器可为大型分支机构和地区办事处扩展网络与安全服务集成程度,将性能与可靠性提升至更高的级别.
分支机构和托管客户端设备(CPE)部署的主要优势包括:该解决方案支持从DS-0到OC-192的所有接口.
该解决方案可帮助分支机构采用不同类型的以太网服务等级协议(SLA)正确地进行路由.
该解决方案对WAN进行了优化,能够在服务提供商网络中绕过电压闪烁点,进一步确保关键业务应用的正常运行.
支持小外形——2个机架单元(2RU);思科IOS软件冗余性和模块性可提供增强的稳定性,确保即使当思科IOS软件发生故障时也能够有效地管理设备.
该解决方案提供了前所未有的性价比:吞吐率高达5或10Gbps的防火墙、网络地址转换(NAT)功能和4GbpsIPsec,以及WAN优化和高性能语音与视频集成.
产品架构CiscoASR1000系列路由器上的硬件架构相对于传统中端路由器架构而言是一项巨大的转变,在传统架构中,管理平面、控制平面和转发平面全部整合至一颗CPU之上——虽然成本非常经济,但在处理多项服务时,可扩展性有限.
CiscoASR1000系列路由器能够在硬件层面将功能分解至独立的处理器上:路由处理器负责处理控制平面流量;实施IP路由协议并管理系统.
嵌入式服务处理器(ESP)负责处理转发平面流量;提供数据包处理功能如防火墙检测、访问控制列表(ACL)、加密和服务质量(QoS)等.
共享端口适配器(SPA)载波卡中可安装SPA,提供接口(I/O)连接性.
图2描绘了配有冗余路由处理器和ESP的CiscoASR1006路由器架构.
CiscoASR1004、1002和1002-F路由器全部采用一颗路由处理器和ESP,选择在软件层面提供冗余性.
数据表第4页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
图2.
CiscoASR1000系列路由器硬件架构DataSheet2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page4of18Figure2.
CiscoASR1000SeriesRouterHardwareArchitectureDistributedControlPlaneCiscoASR1000SeriesRoutersfeatureadistributedcontrolplane;thatis,everyprocessor—whetherrouteprocessor,ESP,orI/O—hasitsownCPUtorunthevariouscomponentsandperformanyrequiredhousekeeping,therebyfreeingtherouteprocessorfromhavingtomanagetheforwardingorI/Ooperations.
Theroute-processorCPUitselfrunsthecontrolplane;forexample,theInteriorGatewayProtocol(IGP)trafficdestinedfortherouter,trafficcomingthroughthemanagementport,andsoon.
WithintheESP,acontrolprocessorcalledtheForwardingEngineControlProcessor(FECP)bootstrapstheQuantumFlowProcessorandcryptographychips(theyincludesoftwaredevelopedbyCaviumNetworks),includingrestartingthemifafailureoccurs.
EachoftheSPAcarriercardshasitsownI/Ocontrolprocessor(IOCP),whichperformstheSPAonlineinsertionandremoval(OIR)andrunstheSPAdrivers.
CentralizedForwardingArchitectureCiscoASR1000SeriesRoutersuseacentralizedforwardingarchitecture;alltrafficflowsthroughthecentralizedESP,andthepacketprocessing(firewall,ACLs,encryption,QoS,andsoon)isperformedthere.
ThissetupallowstheadministratortoconfigurethefunctionsasiftherouterisaCisco7200SeriesRouter;forexample,cryptographymaps,protection,andsooncanbeconfiguredjustthesame,withoutrequiringhardware-specificcommands.
Withintheforwardingprocessor,however,multiplefunctionsareimplementedinparallel,allowingtremendousscaleandperformance.
FECP加密辅助OFP子系统互联SPA聚合IOCPSPARP互联FECP嵌入式服务处理器(活动)路由处理器(活动)路由处理器(备用)嵌入式服务处理器(备用)RP互联互联SPA加密辅助OFP子系统互联SPA聚合IOCPSPA互联SPASPA聚合IOCPSPA互联SPA分布式控制平面CiscoASR1000系列路由器采用分布式控制平面,即路由处理器、ESP或I/O处理器等每颗处理器均具备其自己的CPU,用以运行不同组件和执行任何必要的整理任务,进而释放路由处理器用于管理转发或I/O操作的资源.
路由处理器CPU自己运行控制平面;例如,传输至路由器的内部网关协议(IGP)流量,和经过管理端口的流量等ESP中配有一颗转发引擎控制处理器(FECP),可用于引导QuantumFlow处理器和加密芯片(内含由CaviumNetworks开发的软件),包括在发生故障时进行重启.
每个SPA载波卡均有其自己的I/O控制处理器(IOCP),用于执行SPA在线插拔(OIR)操作和运行SPA驱动程序.
集中转发架构CiscoASR1000系列路由器采用集中转发架构,所有流量全部会经过集中化的ESP,数据包处理流程(防火墙、ACL、加密、QoS等)也在此处执行.
借助这种部署,管理员能够如同使用思科7200系列路由器一样配置加密映射和保护等相关功能,而无需执行与特定硬件相关的命令.
此外,在转发处理器中,可并行实施多项功能,进而实现无与伦比的规模和性能.
数据表第5页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
思科QUANTUMFLOW处理器处于网络转发处理器核心位置的是下一代思科QuantumFlow处理器,这款全新的下一代网络处理器技术可为分类、服务集成和流量管理提供真正大规模并行和灵活的流量处理功能.
图3是思科QuantumFlow处理器的结构图.
图3.
思科QuantumFlow处理器主结构图QuantumFlow处理器并非一款芯片或硬件解决方案,它提供了一个将应用于未来思科产品中的下一代硬件和软件架构.
在CiscoASR1000系列路由器的当前实施中,该处理器包括两个主要的芯片组成部分:思科QuantumFlow处理器引擎:该引擎由40个以900MHz至1.
2GHz的频率运行的、功能强大的数据包处理引擎(内核)组成.
如此多的并行处理流程可确保整个有效载荷和帧报头均得到适当处理.

基本来说,该芯片旨在加快思科IOS软件特性如防火墙、NBAR和NetFlow等的运行速度,降低在路由器中部署外部服务模组的需求.
思科QuantumFlow流量管理器:流量管理器是一个硬件队列引擎,包含数百种定制网络处理器资源,每个资源都能够灵活地处理来自众多应用的流量,将它们引导至位于网络任意地点的100,000多个队列中.
该芯片有助实现更快速且高度可扩展的QoS,最大限度地减少部署整形、管制和类似功能时产生的缺陷.
此外,ESP上的片上和片外资源可帮助QuantumFlow处理器加快特定特性的运行速度:加密引擎采用多枚数据包处理内核来加快加密功能,实现了高达7Gbps的IPsec吞吐率.
该引擎可通过数据包处理单元(PPE)进行访问,首先将数据包发送至流量管理器,在这里,数据包将经过缓冲和排序,最后调度至加密引擎中.
加密操作完成后,数据包将返回至PPE,以执行其它数据包处理操作.
可扩展的IP多播加密:采用三种机制,即加密引擎中的多枚内核、加密引擎和QuantumFlow处理器之间的全循DataSheet2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page5of18CiscoQuantumFlowProcessorAtthecoreofthenetworkforwardingprocessoristhenext-generationCiscoQuantumFlowProcessor,next-generationnetwork-processortechnologythatdeliverstruemassivelyparallelandflexibleflowprocessingforclassification,servicesintegration,andtrafficmanagement.
Figure3showsablockdiagramoftheCiscoQuantumFlowProcessor.
Figure3.
CiscoQuantumFlowProcessorMajorBlockDiagramTheQuantumFlowProcessorisnotjustachiporhardwaresolution;itoffersanext-generationhardwareandsoftwarearchitecturethatwillbeusedinfutureCiscoproducts.
InthecurrentimplementationontheCiscoASR1000SeriesRouters,thisprocessorcontainstwomainpiecesofsilicon:CiscoQuantumFlowProcessorEngine:Theengineisasetof40powerfulpacket-processingengines(cores)runningat900MHzto1.
2GHz.
Thismassiveamountofparallelprocessingallowstheentirepayloadandframeheaderstobeprocessed.
EssentiallythischipisdedicatedtoacceleratingCiscoIOSSoftwarefeaturessuchasfirewall,NBAR,andNetFlowandreducestheneedforexternalservicebladesinsidetherouter.
CiscoQuantumFlowTrafficManager:Thetrafficmanagerisahardware-queuingenginewithhundredsofcustomizednetwork-processorresources,eachcapableofflexibleflowprocessingformanyapplicationsintomorethan100,000queuesanywhereinthenetwork.
ThischipenablesacceleratedandhighlyscalableQoSwithminimumpenaltyfordeployingshaping,policing,andsimilarfunctions.
Inaddition,on-andoff-chipresourcesontheESPassisttheQuantumFlowProcessorinacceleratingspecificfeatures:Thecryptographicenginefeaturesmultiplepacket-processingcorestoacceleratecryptographicfunctions,deliveringupto7-GbpsIPsecthroughput.
TheengineisaccessedfromthePacketProcessingElements(PPE)bysendingthepackettothetrafficmanager,whereitisbuffered,queued,andscheduledtothecryptographicengine.
Whenthecryptographicoperationiscompleted,thepacketreturnstoaPPEforadditionalpacketprocessing.
ScalableIPMulticastencryption:Threemechanisms—themultiplecoresinthecryptographicengine,full-circleback-pressuremechanismsbetweenthecryptographicengineandQuantumFlowProcessor,andalargecryptographic-enginebuffer—arealldesignedtoenablehighlyscalableIPMulticastencryption,PPEPPEPPEPPETCAM接口DRAM互联DRAMTCAM思科QuantumFlow处理器引擎资源互联数据包输入数据包输出内部报文缓存(On-ChipPacketMemory)思科QuantumFlow流量管理器数据包缓冲区+队列存储器CPU接口数据表第6页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
环背压机制,和一个大型加密引擎缓冲区,旨在实施高度可扩展的IP多播加密,避免在将大量复制数据包传输至加密引擎时出现数据包丢失的现象.
多千兆位性能防火墙:功能强大的多核QuantumFlow处理器可推动思科IOS防火墙和NAT的交付,通过20Gbps的嵌入式服务处理器(ESP20)实现高达20Gbps的吞吐率.
即使启用了路由、QoS和NetFlow等主要特性,仍能维持这种性能水平.
其它资源可帮助QuantumFlow处理器进行硬件特性加速,如网络地址和前缀查询、哈希查询、加权随机先期检测(WRED)、流量策略、范围查询,以及用于在数据包处理流程中执行高级分类和ACL加速的三态内容寻址存储器(TCAM).
软件架构:软件冗余性6机架单元(6RU)CiscoASR1006路由器配有冗余的路由处理器和ESP.
每颗路由处理器均能够运行其自己的思科IOS软件副本,您可以在这些处理器之间配置无业务中断软件升级(ISSU),确保系统能够在发生故障时即刻恢复.
2RUCiscoASR1002-F和1002及4RUCiscoASR1004路由器全部采用一颗路由处理器和一颗ESP,部署硬件冗余是不可能的.
作为替代方案,思科选择在软件层面提供高可用性:您可以在同一路由处理器上运行两个思科IOS软件副本,并确保能够在两个副本之间执行无中断转发和状态切换(NSFSSO).
例如,当活动的思科IOS软件构建开放式最短路径优先(OSPF)邻接关系,填充OSPF数据库时,备用的思科IOS软件可通过进程间通信消息始终掌握最新情况.
在实际应用中,如果活动的思科IOS软件发生故障,需要由备用思科IOS软件接手处理相关任务,另一个数据库副本将始终可用:OSPF数据库受到良好保护,且邻接关系不会丢失.
ISSU功能适用于思科IOS软件和SPA驱动程序,能够在不中断业务运行的条件下进行系统更新.
在硬件中执行的控制平面保护(CoPP)机制可在遭受严重的DDoS攻击时提供最大程度的保护和弹性,确保系统能够持续正常运行,并允许管理员进行访问.
思科自防御网络CiscoASR1000系列路由器是思科自防御网络(SDN)不可分割的一个组件.
思科自防御网络是一个出色的架构框架,可帮助企业识别、预防和适应网络安全威胁.
思科自防御网络基于CiscoIntegratedSecurity、CiscoCollaborativeSecuritySystems和CiscoAdaptiveThreatDefense机制构建,并采用思科网络基础保护(CiscoNetworkFoundationProtection)作为基础支持结构.
CiscoIntegratedSecurity在网络安全性方面带来了革命性的改变,将包括路由器、交换机、设备和端点在内的每个网元都打造成为一个防御点.
CiscoIntegratedSecurity解决方案的核心组成部分,包括安全连接、集成的威胁控制和信任与身份,使路由器成为保护网络安全的主要设备.
安全连接:该特性整合了多种流量类型,能够提供安全、可扩展的网络连接.
相关示例包括IPsecVPN、动态多点VPN(DMVPN)、组加密传输VPN和增强型EasyVPN.
集成的威胁控制:该特性可借助网络服务预防并应对网络攻击与威胁.
相关示例包括思科IOS防火墙、NetFlow和灵活数据包匹配(FPM).
信任与身份:该特性支持网络利用身份验证、鉴权和结算(AAA)以及公共密钥基础设施(PKI)等技术,通过智能的方式保护端点设备.
数据表第7页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
特性要求的特性许可IPsec、EasyVPN、DMVPN、语音和视频VPN(VoiceandVideoEnabledVPN,V3PN)、虚拟隧道接口(VTI)、安全配置和数字证书、IPsec高可用性和思科IOS软件认证服务器FLASR1-IPSEC-RTU思科IOS防火墙与防火墙高可用性FLASR1-FW-RTUNBAR和FPMFLASR1-FPI-RTU特性说明与优势安全连接IPsec支持的IPsec标准包括:面向加密的数据加密标准(DES)、TripleDES(3DES)和高级加密标准(AES128、192和256);面向鉴权的Rivest,Shamir,Adleman(RSA)算法签名和Die-Hellman;面向数据完整性的安全哈希算法1(SHA-1)或信息摘要算法5(MD5).
借助ESP内建的加密引擎,CiscoASR1000系列路由器能够提供高达7Gbps的IPsec吞吐率.
硬件QoSQuantumFlow处理器内的专用QoS芯片能够针对数千个VPN支点轻松实施流量整形与管制功能,并在加密前后应用低延迟队列(LLQ),所有这些都是为了维持出色的语音和实时数据质量.
硬件IP多播处理具备2GB大型缓冲区的、功能强大的多核加密引擎与加密引擎和流程引擎间成熟的全循环背压机制相结合,成功解决了与大规模IP多播相关的由来已久的突发问题.
思科EasyVPN和增强型EasyVPN这些特性可为IPsec标准提供先进的增值优势,主动将新安全策略从中央头端路由器推送至远程站点,进而显著简化点对点VPN的管理.
增强型EasyVPN与动态VTI相集成,可实现最大程度的易用性,同时增强按用户路由和特定隧道路由功能.
CiscoCollaborativeSecuritySystems将安全性打造成一个包含端点、网络和策略的网络级系统.
例如,NetFlow采集器可帮助快速识别DDoS攻击,基于来源的远程触发黑洞(RTBH)过滤功能可针对所有必要的攻击点设置实时防御——多种服务与设备相互协作,充分利用主动管理功能来抵御攻击.
CiscoAdaptiveThreatDefense能够动态地识别多个层级上的安全威胁,帮助加强对网络流量、端点、用户和应用的控制,进而最大限度地减少安全风险.
它还将服务整合至数量更少的设备之上,在简化架构设计的同时降低了运营成本.
这种创新方案将安全的多层智能、应用保护、网络级控制和威胁遏制全部集成至一款高性能解决方案中.
CiscoNetworkFoundationProtection是思科自防御网络(SDN)一个不可分割的、得到广泛应用的组成部分,可保护网络基础设施不会因攻击和安全漏洞而受到损害,特别是在网络层面上.
相关示例包括基于硬件的CoPP和加速的NBAR、RTBH过滤和单播反向路径转发(URPF).
CISCOASR1000系列路由器的安全特性与优势为了在CiscoASR1000系列路由器上部署网络安全特性,思科推出了下列思科IOS软件特性集:高级IP服务高级企业服务如欲了解有关如何选择适当特性集的更多信息,请访问CiscoASR1000路由器和思科IOSXE特性集产品白皮书.
在CiscoASR1000系列路由器上使用大部分安全特性时,均要求具备特性许可.
表1列出了部分安全特性及相对应的授权特性许可.
表1.
CiscoASR1000系列路由器的安全特性许可表2列出了CiscoASR1000系列路由器的集成安全特性与优势.
本文针对此处列出的大部分特性提供了更多相关信息,并建立了超链接.
表2.
CiscoASR1000系列路由器的主要集成安全特性与优势.
数据表第8页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
动态多点VPN(DMVPN)思科这项有关站点到站点VPN的创新成果能够帮助客户以可扩展、灵活的方式在多个位置之间构建虚拟全网状IPsecIPSec连接.
DMVPN采用先进的网状结构网络(spoke-to-spoke)功能,增强了延迟敏感型语音应用的性能.
对于传统的星形结构(hub-and-spoke),DMVPN显著降低了部署复杂性.
组加密传输VPN在专用WAN环境中,组加密传输VPN让您无需在网络智能性和数据保密性之间进行折衷.
鉴于组加密传输VPN简化了VPN的配置和管理流程,服务提供商终于能够提供经过良好管理的加密,而无需应对棘手的配置和管理难题.
组加密传输VPN定义了一个无需使用隧道的全新VPN类型.
虚拟隧道接口(VTI)您可以直接使用IPsec配置这些虚拟接口.
与替代方案如将IPsec密封至通用路由封装(GRE)中相比,VTI显著简化了VPN配置和设计流程.
它支持按用户属性和特定隧道特性,使得管理员能够更加灵活地响应精细要求.
思科解决方案能够同时支持静态和动态VTI.
VRF感知型IPSec该服务可使用IPSec安全地将远程站点和客户机与现有VPN服务如MPLSVPN相连接.
这款解决方案支持多个客户在同一提供商边缘上设置终端,并能够透明地将它映射至MPLSVPN.
安全配置和数字证书这项强大的机制可在网络基础设施中添加新远程节点,同时确保最高的安全性.
高可用性CiscoASR1000系列路由器支持多种VPN冗余方案,其中包括机箱内ESP到ESPIPsec状态故障切换.
集成的威胁控制基于域的思科IOS防火墙思科IOS防火墙是一款理想的单设备安全和路由解决方案,能够出色地保护连接至网络的WAN接入点.
基于域的防火墙可对物理和虚拟接口进行分组并将其划分至相应的域,进而简化逻辑网络拓扑.
创建此类域有助以域为单位应用防火墙策略,而无需分别在每个接口上配置策略.
借助功能强大的QuantumFlow处理器,CiscoASR1000系列路由器上的思科IOS防火墙能够实现2.
5Gbps至20Gbps的吞吐率.
NetFlowNetFlow能够进行基于异常的DDoS攻击检测,提供有用的数据,帮助跟踪攻击来源并实时采取相应抵御措施.
NBAR这项深度检测机制可用于控制大量不同的应用,正确识别应用并进行分类.
应用被划分至适当类别后,网络便能够为该应用提供特定服务.
FPMFPM在数据包标题或有效载荷深处采用灵活和精细的2-7层模式匹配功能,能够针对网络威胁和知名蠕虫与病毒迅速构建第一道防线.
高可用性防火墙状态故障切换功能支持机箱内RP到RP和ESP到ESP故障切换,而且不会干扰当前正在运行的会话.
信任与身份AAAAAA支持管理员在每条线路(每名用户)或每项服务(例如IP、网间数据包交换[IPX]或虚拟专用拨号网络[VPDN])的基础上动态配置身份认证和鉴权类型.
思科网络基础保护(CiscoNetworkFoundationProtection)ACL访问控制列表(ACL)可保护边缘路由器不受恶意流量的损害;它们明确地允许可发送至边缘路由器目标地址的合法流量通过.
CoPP控制平面保护(CoPP)能够严格管制进入控制平面的流量流速,可大大降低DDoS攻击的成功几率,帮助维护网络可用性,即使在发生攻击时也不例外.
CoPP在QuantumFlow处理器硬件中实施.
思科IOS软件模块性与内核保护思科IOS软件包含在其自己的内存空间内.
即使网络处于重压之下,如受到DDoS攻击,系统仍能持续运行并响应管理命令.
QoS工具QoS工具能够定义QoS策略,限制带宽或移除攻击性流量(识别、分类和流速限制),进而出色地防御DDoS攻击.
接收ACL接收ACL能够控制可转发至路由处理器的流量类型,明确地允许或拒绝流量.
基于角色的CLI访问该特性能够提供基于视图的、到命令行接口(CLI)命令的访问,在网络操作、安全操作和最终用户之间极为安全地在逻辑上分离路由器.
路由保护该特性能够使用MD5对等体身份验证和再分配保护功能验证路由对等体,增强路由稳定性,并提供过载保护.
SecureShell(SSH)协议版本2SSHv2能够提供安全的操作员设备访问——包括身份验证和加密.
简单网络管理协议(SNMP)版本3SNMPv3能够为客户应用提供安全、基于标准的设备管理和控制.
基于来源的RTBH过滤该特性采用一系列IP路由特性来提供线速、实时的DDoS攻击防御.
URPFURPF能够移除缺少可信IP源地址的IP数据包,帮助消除因在网络中引入畸形或伪造(欺骗性质)的IP源地址而导致的故障问题.
数据表第9页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
安全连接传统的IP网络经常运行有不可计数的合法或可疑应用,与对性能较为敏感的语音、视频和实时数据应用争夺资源.
例如,语音流量对延迟非常敏感,语音数据包通常比较小,如果它们排在较大的非关键型数据包之后,一开始播放您马上便能够感觉到性能的降低.
视频流量会占用较高的带宽并且对抖动非常敏感,在延迟阶段缓冲视频数据在很多情况下是不可行的,结果为了迅速恢复稳定的视频流,通常会丢失部分数据包.
如果这种数据包丢失现象过于频繁,会导致视频流不连贯,影响观看者的情绪.
企业语音和视频应用要求部署成熟的QoS和IP多播机制,以便维持出色的语音和视频质量.
站点到站点和远程访问VPN正常运行的前提是通过经加密的、普遍存在且成本低廉的公共互联网连接传输流量组合——同时适用于主要和备用连接.
在虚拟专用网络(VPN)范围内提升语音和视频流量质量,为IPsec与QoS或IP多播的集成方式带来了更多的要求.
过去,部分此类挑战限制了网络的可扩展性,或者增加了网络设计的复杂性.
此外,随着VPN部署的日益普及和实时应用数量的迅速增长——IP语音(VoIP)和IPTV是主流,思科网真视频会议的应用越来越广泛,视频电话即将投入使用——聚合站点的性能、扩展和特性集成要求也不断提升.
CiscoASR1000系列路由器将高度可扩展的的多千兆位VPN与语音、视频和实时数据相集成:IPsecAES、DES和3DES加密直接构建于平台内部,无需部署服务模组.
20GbpsESP(ESP20)最多可支持4000条隧道,最高可实现7Gbps的IPsec性能.
架构能够与未来版本相兼容,可在机箱和其它组件保持不变的情况下通过ESP升级获得更高的加密性能.
面向站点到站点和远程访问VPN的支持包括IPsec、组加密传输VPN、DMVPN、EasyVPN和VTI(静态与动态).
硬件QoS(无服务模组)和成熟、经加密的IP多播处理流程支持可高度扩展的设计,实现了语音和视频与IPsec的集成.
PKI特性支持为站点到站点和远程访问部署预共享密钥和证书;思科IOS软件认证服务器简化了配置安全网络的流程.
硬件QOS思科ASR1000系列路由器将QoS处理流程嵌入至QuantumFlow处理器中:流量处理器:QuantumFlow处理器中有一整枚芯片专门用于执行QoS操作,针对数千个VPN支点轻松实施流量整形与管制功能,并且丝毫不会影响路由处理器自身的运行.
恰好相反,传统的单CPU中端路由器在此类情形下会为路由处理器带来巨大的压力,可能会威胁到网络的可用性.
加密前LLQ功能是帮助确保VPN语音质量的重要要求.
QuantumFlow处理器能够提供硬件LLQ及加密后接口级QoS——面向此种规模平台的行业领先功能.
硬件IP多播处理过去,加密IP多播数据包(如IPTV或视频会议流)在规模上具备极大的局限性.
例如,企业活动通常在指定时间开始,大量用户试图在同一时间在线加入活动,结果导致流量激增.
大量的数据包被复制并加入加密队列,为加密处理器的队列缓冲区带来了巨大的压力,导致部分数据包在输入接口处意外丢失.
解决该问题的传统方案涉及复杂的设计流程,需要使用多个对等体和隧道来分离加密的IP多播流量.
数据表第10页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
CiscoASR1000系列路由器能够采用成熟的方法来处理加密的IP多播流量.
以下三项主要配置可最大限度地减少数据包丢失,在对IP多播流量进行加密的同时简化网络设计:多核加密引擎:ESP内部的加密处理器采用多核芯片(10-GbpsESP配有一枚8核芯片).
处理器并行调度数据包,将它们分配至不同的内核以进行加密,从而封装更高的性能,使得加密引擎能够随时处理大量数据包.
加密引擎与QuantumFlow处理器流程引擎之间的全循环背压机制:过去,瞬间的IP多播突发流量会导致转发和数据包处理器将无法管理的数据包突发传输给对方,结果给自身的缓冲区带来了更大的压力.
在CiscoASR1000系列路由器中,多种机制均支持加密引擎和流程引擎(QuantumFlow处理器内的数据包处理引擎)向对方应用背压,并通过扣留数据包的方式应对背压.
这个流程能够平缓突发流量冲击,最大限度地减少数据包丢失.
确保该流程能够正常运转的一个重要因素是,除流程引擎外,QuantumFlow处理器还集成了一个专用流量处理器,用于运行缓冲、队列和调度(BQS)系统.
进入系统执行加密的数据包被传送至BQS系统,等待加密引擎做好进行加密操作的准备;更确切地说,如有必要,加密引擎可对流程引擎施加背压.
当加密引擎准备就绪,开始对数据包进行加密时,它会将数据包重新插入流量中.
此时,如果流程引擎没有剩余空间接收这些数据包,它也可以应用背压,要求加密引擎减缓处理速度.
从本质上讲,这在流程加密引擎与QuantumFlow处理器之间创造了一个完整的背压机制循环.
大型加密引擎缓冲区:加密引擎内部集成有一个2MB的大型缓冲区.
EASYVPN和增强型EASYVPN针对简单、高规模的远程访问要求,思科推出了EasyVPN解决方案,利用"policy-push"(策略推送)技术来简化配置,同时保留丰富的特性和出色的策略控制.
位于企业总部的EasyVPNServer能够将安全策略推送至远程VPN设备,帮助确保这些连接在进行互联之前拥有最新的策略(图4).
表4.
EasyVPN隧道设置EasyVPN可带来以下优势:2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page10of18resultinginundesiredpacketdropsattheinputinterface.
TraditionalapproachestosolvethisproblemhaveinvolvedcomplexdesignswithmultiplepeersandtunnelstoseparateencryptedIPMulticasttraffic.
CiscoASR1000SeriesRoutersperformsophisticatedhandlingofencryptedIPMulticasttraffic.
ThreemajorprovisionsresultinminimalpacketdropsandsimplifynetworkdesignswhileencryptingIPMulticasttraffic:Multicorecryptographicengine:TheencryptionprocessorwithintheESPhasmulticorechips(the10-GbpsESPhasan8-corechip).
Packetsgetdispatchedinparalleltomultiplecoresforencryption,essentiallypackingmoreperformancehorsepowerandenablingthecryptographyenginetodealwithalotmorepacketsatanygiventime.
Full-circleback-pressuremechanismsbetweenthecryptographyengineandQuantumFlowProcessorprocessengine:Traditionally,theresultofquasi-instantaneousIPMulticastbursttraffichasbeenthattheforwardingandpacketprocessortypicallydirectunmanageablepacketburstsateachother,furthertaxingtheirbuffers.
WithintheCiscoASR1000SeriesRouters,multiplemechanismsallowboththecryptographyengineandtheprocessengine(thepacketprocessingenginewithintheQuantumFlowProcessor)toapplybackpressureoneachotherandalsotorespondtobackpressurebyholdingontopackets.
Thisprocesssmoothesouttheburst,minimizingpacketdrops.
ThecrucialelementinthisprocessisthattheQuantumFlowProcessorincludesadedicatedtrafficprocessorthathousesthebuffering,queuing,andscheduling(BQS)system,inadditiontotheprocessengine.
PacketsenteringthesystemforencryptionarebroughtintotheBQSsystem,wheretheywaituntilthecryptographyengineisreadytoencrypt;thatis,thecryptographyenginecanbackpressuretheprocessengine.
Whenthecryptographyengineisreadyandencryptsthepacket,itlookstoreinsertthepacketintotheflow.
Theprocessengineinturncannowapplybackpressure,askingthecryptographyenginetoslowdownbecauseithasnospacetoreceivethosepackets.
Essentiallythisprocesscreatesafullcircleofback-pressuremechanismsbetweenthecryptographyengineandtheQuantumFlowProcessor.
Largecryptography-enginebuffer:Thecryptographyenginehasa2-MBbufferbuiltin.
EasyVPNandEnhancedEasyVPNForsimple,high-scale,remote-accessrequirements,CiscoofferstheEasyVPNsolution,whichusesa"policy-push"technologytosimplifyconfigurationwhileretainingrichfeaturesandpolicycontrol.
EasyVPNServer,definedattheheadquarters,pushessecuritypoliciestotheremoteVPNdevices,helpingensurethatthoseconnectionshaveup-to-datepoliciesinplacebeforetheconnectionisestablished(Figure4).
Figure4.
EasyVPNTunnelSetupInternetEasyVPNRemoteatBranchOfficeEasyVPNRemoteTeleworker/SOHOCiscoVPNSoftwareClientonPC/MAC/UNIXEasyVPNServeratCorporateOfficeQFPRemotecallsin1.
Validate,Policypush2.
VPNTunnelsetup3.
EasyVPNoffersthefollowingbenefits:EasyVPNRemote(位于分支机构)远程呼叫验证、推送策略建立VPN隧道互联网EasyVPNRemote远程办公人员/SOHO用户位于PC/MAC/UNIX之上的思科VPN软件客户端EasyVPNServer(位于企业总部)QFP数据表第11页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
EasyVPN使用同一中央站点路由器支持硬件(访问路由器)CPE和软件远程访问客户端.
您可以在PC、Mac和UNIX系统上安装思科VPN客户端软件,添加到基于路由器的VPN的远程访问连接,整个过程无需支付任何额外成本.
通过采用一款技术(EasyVPN)同时为硬件CPE和软件客户端提供支持,实现了配置、监视和AAA服务的简化与统一,进而降低了总体拥有成本(TCO).
EasyVPN支持针对CPE路由器和个人用户进行本地(基于路由器)以及集中化的RADIUS和AAA身份认证.
EasyVPN支持数字证书,有助在预共享密钥的基础上提升安全性.
该解决方案可在多个中央站点EasyVPN集中器之间实现负载平衡.
将备份集中器信息传输至CPE的策略推送可帮助您轻松扩展解决方案,而无需重新配置CPE.
这些技术能够实现EasyVPNServer的虚拟化,帮助服务提供商使用单一平台为多名客户提供VPN服务.
EasyVPN能够提供全功能集成,包括动态QoS策略分配、防火墙和IPS、隧道分割,以及面向性能监控的思科IPSLA和NetFlow.
所有思科VPN产品线全部支持EasyVPN:思科IOS软件和思科ASA设备.
集成增强型EasyVPN特性与VTI时,您可以直接使用EasyVPN配置虚拟接口,进而简化部署和高级网络集成.
相关优势包括显著简化头端和远程分支机构的配置要求:您可以使用VTI配置IP服务(也可通过AAA服务器进行下载),而且在进行连接时,还可动态地从这些模版中克隆VTI实例.
您根本不需要手动为每个远程站点创建无数相似的配置命令集.
按用户属性如QoS:VTI有助在每名用户的基础上顺利地配置策略;它可帮助管理员主动交付预期的应用性能,确保用户保持较高的工作效率和强大的动力.
特定隧道特性:VTI允许每个分支机构VPN隧道在配置过程中采用其自己的参数集,这带来了极大的灵活性,可根据站点的具体需求采用定制配置和安全设置.
动态多点VPN思科路由器能够提供动态多点VPN(DMVPN)功能.
思科DMVPN可帮助实施按需部署、可扩展的全网状结构VPN,进而减少延迟,节省带宽并简化VPN部署(图5).
DMVPN特性构建于思科IPsec和路由专业知识之上,可帮助实现GRE隧道、IPsec加密、下一跳解析协议(NHRP)、OSPF和增强型内部网关路由协议(EIGRP)的动态配置.
图5.
DMVPNDMVPN的强大功能可在企业总部得到充分利用——VPN隧道的动态配置与QoS和IP多播等技术相结合,优化了延2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page11of18EasyVPNsupportsbothhardware(accessrouters)CPEandsoftwareremote-accessclientsusingthesamecentral-siterouter.
YoucaninstalltheCiscoVPNClientsoftwareonPCs,Macs,andUNIXsystemstoaddremote-accessconnectivitytotherouter-basedVPNatnoadditionalcost.
Becauseasingletechnology(EasyVPN)isusedforboththehardwareCPEandsoftwareclients,totalcostofownership(TCO)isreducedthroughsimplificationandunificationofprovisioning,monitoring,andAAAservices.
Itallowslocal(router-based)aswellascentralizedRADIUSandAAAauthenticationofbothCPEroutersandindividualusers.
EasyVPNsupportsdigitalcertificates,improvingsecurityoverpresharedkeys.
Itenablesloadbalancingofmultiplecentral-siteEasyVPNconcentrators.
PolicypushofbackupconcentratorinformationtotheCPEallowsyoutoscalethesolutionwithoutCPEreconfiguration.
ThetechnologyprovidesvirtualizationofEasyVPNServer,allowingserviceproviderstoofferVPNservicestomultiplecustomersusingasingleplatform.
Itoffersfull-featureintegration,includingdynamicQoSpolicyassignment,firewallandIPS,splittunneling,andCiscoIPSLAandNetFlowforperformancemonitoring.
EasyVPNissupportedonallCiscoVPNproductlines:CiscoIOSSoftwareandCiscoASAappliances.
WhenyouintegrateEnhancedEasyVPNfeatureswithVTIs,youcanconfigurevirtualinterfacesdirectlywithEasyVPN,resultingineaseofdeploymentandadvancednetworkintegration.
Benefitsinclude:Greatlysimplifiedconfigurationrequirementsattheheadendaswellastheremotebranchoffices:YoucanconfigureIPservicesusingVTIs(ordownloadedfromAAAservers),andatconnectiontime,VTIinstancesarecloneddynamicallyfromthesetemplates.
Thereisnoneedtomanuallycreatemyriadsofsimilarlookingsetsofconfigurationcommandsforeachremotesite.
Per-userattributessuchasQoS:VTIallowspainlessconfigurationofpoliciesonaper-userbasis;itenablesadministratorstobeproactiveindeliveringthedesiredapplicationperformanceandkeepingusersproductiveandmotivated.
Tunnel-specificfeatures:VTIallowsforconfigurationofeachbranch-officeVPNtunnelwithitsownsetofparameters,providingflexibilitytocustomizeconfigurationandsecuritybasedonsite-specificneeds.
DynamicMultipointVPNCiscoroutersofferDMVPNfunctions.
CiscoDMVPNhelpsenableon-demandandscalablefull-meshVPNtoreducelatency,conservebandwidth,andsimplifyVPNdeployments(Figure5).
TheDMVPNfeaturebuildsuponCiscoIPsecandroutingexpertisebyhelpingenabledynamicconfigurationofGREtunnels,IPsecencryption,NextHopResolutionProtocol(NHRP),OSPF,andEnhancedInteriorGatewayRoutingProtocol(EIGRP).
Figure5.
DMVPNVPNQFPHubSpoke1Spoke2SpokenDMVPNTunnelsTraditionalStaticTunnelsStaticKnownIPAddressesDynamicUnknownIPAddressesThepowerofDMVPNistrulyreflectedintheenterpriseheadquarters,wheredynamicconfigurationofVPNtunnelscombinedwithtechnologiessuchasQoSandIPMulticastoptimizestheperformanceoflatency-sensitiveQFP中枢VPN支点n支点1支点2DMVPN隧道传统静态隧道静态已知IP地址动态未知IP地址数据表第12页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
迟敏感型应用的性能,减轻了管理负担.
例如,DMVPN有助您通过IP传输网络获得与交替WAN链路相同级别的语音和视频应用性能,而且更加安全、高效.
DMVPN得到了广泛应用,可帮助整合企业分支机构、远程办公人员和外联网连接.
其主要优势包括:借助简单的中枢和支点配置提供全网状连接具备自动IPsec触发特性,可用于构建IPsec隧道添加新支点时支持零接触配置支持动态寻址的支点组加密传输VPN通过引入组加密传输VPN,思科提供了一种创新、可扩展、无需隧道的VPN类别.
该VPN可参照路由协议决定,将加密的IP单播和多播数据包直接路由至远程站点,并绕过出现故障的路径,最终提供增强的可用性.
思科解决方案支持企业依赖于现有的第3层路由信息,帮助他们识别效率低下的多播复制因素,提高网络性能.
分布式分支网络能够进行更大规模的扩展,同时保留对语音和视频质量而言至关重要的网络智能特性,如QoS、路由和多播.
组加密传输VPN提供了一个全新的、基于"可信"组成员概念的标准化IPsec安全模型.
可信组成员路由器采用独立于任何点对点IPsec隧道关系的通用安全方法.
密钥服务器可为所有经注册和鉴权的组成员路由器分配密钥与策略(图6).
图6.
组安全功能组加密传输VPN可为许多不同应用带来出色优势:提供数据安全性和传输认证,对所有WAN流量进行加密,帮助满足安全法规和内部规章制度的要求.
2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page12of18applicationswhilesimultaneouslyreducingadministrativeburden.
Forexample,DMVPNallowsyoutoobtainthesameperformanceforvoiceandvideoapplicationsoveranIPtransportnetworkasyouwouldoveranalternateWANlink—securelyandeffectively.
DMVPNhasbeenwidelyusedtocombineenterprisebranchoffice,teleworker,andextranetconnectivity.
Majorbenefitsinclude:ProvidesfullmeshedconnectivitywithsimpleconfigurationofhubandspokeFeaturesautomaticIPsectriggeringforbuildinganIPsectunnelFacilitateszero-touchconfigurationforadditionofnewspokesSupportsdynamicallyaddressedspokesGroupEncryptedTransportVPNWiththeintroductionofGroupEncryptedTransportVPN,Cisconowdeliversaninnovative,scalablecategoryofVPNthateliminatestheneedfortunnels.
ItenablesencryptedIPUnicastandMulticastpacketstoberouteddirectlytoremotesitesbasedonroutingprotocoldecisionsandtobereroutedaroundfailedpaths,providingenhancedavailability.
ItenablesorganizationstorelyontheexistingLayer3routinginformation,thusprovidingtheabilitytoaddressmulticastreplicationinefficienciesandimprovingnetworkperformance.
Distributedbranchnetworksareabletoscalehigherwhilemaintainingnetwork-intelligencefeaturescriticaltovoiceandvideoquality,suchasQoS,routing,andmulticast.
GroupEncryptedTransportVPNoffersanewstandards-basedIPsecsecuritymodelthatisbasedontheconceptof"trusted"groupmembers.
Trustedgroupmemberroutersuseacommonsecuritymethodologythatisindependentofanypoint-to-pointIPsectunnelrelationship.
Akeyserverdistributeskeysandpoliciestoallregisteredandauthenticatedgroupmemberrouters(Figure6).
Figure6.
GroupSecurityFunctionsGroupEncryptedTransportVPNprovidesbenefitstoavarietyofapplications:Providesdatasecurityandtransportauthentication,helpingtomeetsecuritycomplianceandinternalregulationbyencryptingallWANtraffic密钥服务器验证组成员管理安全策略创建组密钥分配策略/密钥组成员加密设备安全/不安全区域间的路由路径多播参与路由成员转发复制路由密钥服务器组成员路由成员组成员组成员组成员数据表第13页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
支持部署大规模网络网格结构,采用组加密密钥,消除复杂的对等密钥管理流程.
对于多协议标签交换(MPLS)网络,保留全网状连接、正常路由路径和QoS等网络智能特性.
借助集中密钥服务器轻松地进行成员控制.
在站点之间实施全时的直接通信,无需通过中枢进行传输,帮助降低延迟和减少抖动.
使用核心网络复制多播流量,避免在每个独立的对等体站点上复制数据包,进而减少CPE和提供商边缘加密设备上的流量负载.
当前,CiscoASR1000系列路由器支持组成员和组成员中的VRF-lite功能.
虚拟隧道接口越来越多的企业开始将VPN视作部署安全WAN连接的主流解决方案.
VPN能够替代或增强当前使用租用线路、帧中继或ATM的专用网络,更加经济高效和灵活地将远程和分支机构连接至中心站点.
这种全新状态要求VPN设备能够提供更高的性能,同时支持LAN和WAN两种接口,并具备高网络可用性.
您可以使用新思科IPsecVTI工具在站点到站点设备之间配置基于IPsec的VPN.
该工具提供了一个可路由的接口作为IPsec隧道的终端,简化了配置流程.
思科IPsecVTI隧道跨共享WAN提供了一条专用路径,并采用新数据包报头来封装流量,帮助确保将特定内容传输至正确的目的地.
网络为专用网络,因为流量只能在一个端点进入一条隧道.
此外,IPsec可提供真正的保密性(与加密相同),能够承载加密的流量.
借助CiscoIPsecVTI,贵企业将能够充分利用经济高效的VPN,在不影响质量和可靠性的情况下为您的数据网络添加语音和视频.
该技术可为站点到站点VPN提供高度安全的连接,通过IP网络传输融合的语音、视频和数据流量.
VRF感知型IPSECVRF感知型IPSec可帮助服务提供商将他们的MPLSVPN网络服务扩展至远程分支机构和其他企业的远程访问用户.
这些远程位置全部通过IPSecVPN安全地连接至MPLSVPN网络的提供商边缘.
提供商边缘可对流量进行解密,然后使用MPLSVPN网络将其转发至相对应的企业VPN站点.
思科IOSXE软件版本2.
6面市后,CiscoASR1000系列路由器现在能够提供两种VRF感知型IPsec解决方案:采用静态加密映射的IPsec隧道和GRE+IPSec隧道.
面向企业总部的高可用性和负载平衡CiscoASR1000系列路由器支持多种面向IPsecVPN的冗余特性:内部IPsec状态故障切换:借助IPsec状态故障切换功能,您可以部署一个备用IPsec流程,以便在发生计划或意外中断时继续处理和转发IPsec数据包.
该特性现可随6RUCiscoASR1006路由器提供:IPsec状态故障切换功能适用于同一机箱内的两个ESP.
正常情况下,一个ESP负责执行处理任务,另一个则处于热备用状态,如果活动路由器出于任何原因失去了连接,并由备用ESP接手处理任务,IPsec会话信息将完整无缺地保留下来,且不会丢失与对等体之间的安全连接.
整个过程对最终用户而言是透明的,不需要调整或重新配置任何远程对等体.
在CiscoASR1000系列路由器中,IPsec状态故障切换功能经过专门设计,能够与两个ESP之间的SSO功能相结合.
它能够保护IPsec、GRE封装型IPsec和思科IOS软件EasyVPN流量.
数据表第14页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
集成的威胁控制QuantumFlow处理器架构为中端路由器安全性带来了根本性的改变,让CiscoASR1000系列路由器能够提供经过硬件加速的多千兆位集成威胁控制服务,以及一流的IP路由与安全连接,并且无需部署任何插件服务模组.
最初推出的集成威胁控制服务包括防火墙、NBAR、NetFlow和基于来源的RTBH——网络和安全专家用来减少网络边缘处风险的所有成熟方法.
所有这些功能全部在QuantumFlow处理器上执行,即所有会话数据包(包括第4层、深度数据包检测、NBAR和FPM)全部在QuantumFlow处理器上执行.
甚至初始防火墙会话设置数据包也在硬件中经过处理,通常称为"快速路径",当然对防火墙而言并不存在"慢速路径".
此外,QuantumFlow处理器能够快速地直接从转发平面上导出防火墙和NAT系统记录,最大限度减少路由处理器上的任何降级现象和负载.
基于域的思科IOS防火墙CiscoASR1000系列路由器上基于域的思科IOS防火墙可执行多千兆位状态防火墙检测,推动部署理想的单机箱安全性和路由解决方案,保护与网络相连的WAN接入点.
防火墙服务集成于CiscoASR1000系列路由器的思科QuantumFlow处理器之内——不需要额外的防火墙刀片或模块.
与此同时,系统还能够以千兆位的速度执行其它功能,如QoS、IPv4、IPv6、NetFlow等.
支持的主要思科IOS防火墙特性包括:基于域的策略:通过实施基于域的策略,CiscoASR1000系列路由器可作为任意两个不属于同一域的接口之间的障碍.
除非每个域配对之间在各个方向上均规定有明确的域配对策略,否则系统不会转发数据包.
配对策略使用思科策略语言(即ModularQoSCLI[MQC])编写,规定了适用于各个域配对的状态检测类型和会话参数.
例如,Internet-to-DMZ边界要求部署一项明确的策略,规定允许HTTP和域名系统(DNS)穿过.
多千兆位性能:该架构可提供卓越的防火墙和NAT性能,启用路由、QoS和其它常见思科IOS软件特性时:在ASR1002-F上可实现高达2.
5Gbps的性能;在ESP5上高达5Gbps;在ESP10上高达10Gbps;在ESP20上高达20Gbps.
机箱内高可用性:CiscoASR1006路由器支持硬件冗余性,可在同一机箱内支持冗余的路由处理器和ESP.
当活动的路由处理器或ESP出现故障时,热备用组件将接手处理任务,确保接近零的数据包丢失.
在此过程中,所有防火墙和NAT会话均将完整地保留下来.
CiscoASR1002和ASR1004还可提供软件冗余功能,能够在单个路由处理器内运行两个思科IOS软件映像,一个执行处理任务,另一个则处于备用状态.
当活动映像发生故障时,热备用映像将接手处理流程,所有防火墙和NAT会话都不会中断.
基于域的VRF感知型防火墙:支持将思科1000部署为MPLSVPN网络的提供商边缘路由器,为大量VPN客户提供防火墙服务.
每个客户均可以实施其自己的防火墙策略.
这款解决方案为VPN客户提供了三个主要的使用案例:互联网切换、到共享服务的访问和站点到站点的访问.
面向语音、视频和其它数据应用的高级协议检测.
以用户、接口或子接口为单位的安全策略.
基于每名用户的防火墙:该解决方案可作为L2TP网络服务器(LNS)在CiscoASR1000系列路由器上部署.
数据表第15页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
该特性将思科IOS基于域的策略防火墙与CiscoASR1000系列路由器丰富的宽带特性集相结合,可帮助互联网服务提供商为宽带用户提供防火墙服务.
紧密集成的身份管理服务可提供基于每名用户的身份验证与鉴权.
基于角色的CLI访问:借助该特性,网络管理员能够根据需访问路由器的用户角色定义不同的视图.
每个视图均包括特定角色的用户(如网络操作员和安全操作员)可访问的所有思科IOS软件CLI命令子集.
NETFLOW事件记录CiscoASR1000系列路由器可生成多千兆位防火墙和NAT系统记录.
借助ESP的QuantumFlow处理器架构,可使用NetFlowv9二进制记录模版直接从转发平面上导出数以万计的防火墙和NAT事件,且丝毫不会影响路由处理器的性能.
ESP每秒可导出多达40,000个事件.
NETFLOWNetFlow是业界用于检测网络异常的主要技术.
它能够提供遥测数据以用于分析IP流量——例如,谁和谁正在通信、采用的协议和端口是什么、持续时间多长,以及通信速度多大.
DDoS攻击会制造网络使用的突发高峰.
通过比较从之前收集的模式和基准中总结出的典型流量模式,您可迅速判断出这些突发高峰属于异常网络"事件".
如果分析详细的NetFlow流量数据,您还能够对攻击(攻击的来源和目标)、攻击持续时间和攻击中使用的数据包大小进行分类.
CiscoASR1000系列路由器上的思科QuantumFlow处理器可直接从处理器中导出大量流量高速缓存数据(对于ESP10,100万张流量记录卡),进一步降低路由平台中控制处理器的CPU占用率.
SampledNetFlow可帮助最高效地使用高速缓存.
基于网络的应用识别NBAR是思科IOS软件内部集成的一个分类引擎,可利用深度和状态数据包检测功能来识别各种不同的应用,包括基于网络的协议和其它使用动态TCP/用户数据报协议(UDP)端口分配的、不易分类的协议.
在安全环境中使用时,NBAR可以参照有效载荷签名检测蠕虫.
NBAR识别出一项应用并对其分类后,网络可针对这款特定应用调用适当的服务.
这项技术与QoS特性共同使用,还能够帮助确保网络带宽得到充分利用,提供有保障的带宽、带宽限值、流量整形和数据包着色.
CiscoASR1000系列路由器能够加快QuantumFlow处理器上的NBAR处理速度,提供行业领先的多千兆位性能.
灵活数据包匹配(FPM)FPM能够检测数据包是否存在攻击特征并采用适当的应对措施(记录、移除,或拒绝访问互联网控制消息协议[ICMP]).
它提供了灵活的2至7层无状态分类机制.
您可以根据流量协议堆栈中的任何协议和任何字段来定义分类标准.
依照分类结果,您可以针对分类的流量采用移除或记录等操作.
信任与身份AAA思科IOS软件AAA网络安全服务提供了一个实用框架,用于在路由器或访问服务器上设置访问控制.
AAA旨在帮助数据表第16页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
管理员参照适用于特定服务或接口的方法列表,动态地在每条线路(每名用户)或每项服务(例如IP、IPX或VPDN)的基础上配置所需的身份验证和鉴权类型.
网络基础保护对企业总部而言,网络基础设施设备的持续可用性还要更加重要.
如果网络路由器或交换机出现安全问题,心存恶意的人将获得到整个网络的完全访问权限.
不管部署了多少种成熟的攻击防御措施,积极防范未知的威胁仍非常有必要.
下列技术突出强调了强大网络基础保护的重要性,包括思科IOS软件设备自防御功能,用于抵御DDoS攻击,以及安全管理访问,用于最大限度地降低管理和控制接口受到欺骗攻击的可能性.
控制平面保护甚至大多数完善的软件实施和硬件架构也极易受到DDoS攻击.
DDoS攻击指一系列恶意行为,通常会伪装成控制平面处理器输出的特定类型的控制数据包,意图让网络基础设施中充满没有价值的流量,最终面临瘫痪的危险.
在CiscoASR1000系列路由器上,第一道防御措施是在独立处理器之间分离控制和数据转发功能,即在路由处理器和ESP上分离并指派专用CPU.
例如,让ESP负责处理数据流,这样一来,路由处理器便能够免受DDoS攻击.
作为抵御DDoS攻击和网络中心位置其它类似威胁的第二道防线,思科IOS软件在路由器上部署了可编程的管制功能,用以限制流速或"管制"传输至控制平面的流量.
您还可以配置控制平面保护(CoPP)特性,识别并彻底限制或在超过指定阀值级别时限制特定的流量类型(图7).
CiscoASR1000系列路由器上的CoPP在硬件层面即QuantumFlow处理器上实施,彻底消除了与执行CoPP和流速限制功能相关的任何其它缺陷或系统性能下降现象.
此外,平台中的所有punt流量全部首先经过ESP,这提供了一层附加保护,让异常数据甚至无法进入路由处理器.
最后,在Linux内核上将思科IOS软件作为一项用户进程来执行,构成了系统保护的第三道防线.
这项内核保护措施能够确保系统始终保持正常运行并可管理,即使当路由流程受到外界压力时也不例外,例如发生DoS攻击.
数据表第17页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
图7.
控制平面保护:数据包缓冲区;进入的数据包;思科快速转发和转发信息库(FIB)查询;输出数据包缓冲区;静寂模式基于角色的CLI访问借助基于角色的CLI访问,网络管理员能够定义"视图",列出一系列操作命令和配置功能,提供有选择的或部分到思科IOS软件的访问.
视图限制了到思科IOS软件CLI和配置信息的用户访问,定义了哪些命令可接受以及哪些配置信息可见.
基于角色的CLI访问的应用情形包括网络管理员针对特定功能提供安全人员访问.
此外,服务提供商可以使用该特性授予最终用户有限的访问权限,帮助排除网络中存在的故障.
SSHV2SSHv2提供了强大的全新身份验证和加密功能.
现在,用户具备更多的选择来通过加密连接传输其它类型的流量,包括文件拷贝和电子邮件协议.
更广泛的身份验证功能,包括数字证书和更多双重认证选项,进一步增强了网络安全性.
SNMPV3SNMPv3是一项可互操作的、基于标准的网络管理协议,可在网络范围内验证和加密数据包,提供安全的设备访问.
SNMPv3提供的安全特性如下:消息完整性:帮助确保没有数据包在传输过程中被篡改身份验证:检查确保消息的来源可靠加密:对数据包中的内容进行编码,防止未经授权的用户查看相关内容SNMPv3能够在安全模式和安全级别两个方面提供保护.
安全模式指针对用户或用户所在群设定的身份验证战略.
安全级别指安全模式中允许的安全性等级.
安全模式和安全级别的组合决定了在处理SNMP数据包时采用什么安全机制.
当前三个可用的安全模式包括:SNMPv1、SNMPv2c和SNMPv3.
DataSheet2010Ciscoand/oritsaffiliates.
Allrightsreserved.
ThisdocumentisCiscoPublicInformation.
Page17of18Figure7.
Control-PlaneProtection:PacketBuffer;IncomingPackets;CiscoExpressForwardingandForwardingInformationBase(FIB)Lookup;OutputPacketBuffer;andSilentModeRole-BasedCLIAccessRole-BasedCLIAccessallowsthenetworkadministratortodefine"views,"whichareasetofoperationalcommandsandconfigurationcapabilitiesthatprovideselectiveorpartialaccesstoCiscoIOSSoftware.
ViewsrestrictuseraccesstoCiscoIOSSoftwareCLIandconfigurationinformationandcandefinewhatcommandsareacceptedandwhatconfigurationinformationisvisible.
ApplicationsofRole-BasedCLIAccessincludenetworkadministratorsprovidingsecuritypersonnelaccesstospecificfunctions.
Inaddition,serviceproviderscanusethisfeaturetograntlimitedaccesstoendcustomerstoaidintroubleshootingthenetwork.
SSHv2SSHv2providespowerfulnewauthenticationandencryptioncapabilities.
Moreoptionsarenowavailablefortunnelingadditionaltypesoftrafficovertheencryptedconnection,includingfile-copyandemailprotocols.
Networksecurityisenhancedbyagreaterbreadthofauthenticationfunctions,includingdigitalcertificatesandmoretwo-factorauthenticationoptions.
SNMPv3SNMPv3isaninteroperablestandards-basedprotocolfornetworkmanagementthatprovidessecureaccesstodevicesbyauthenticatingandencryptingpacketsoverthenetwork.
ThesecurityfeaturesprovidedinSNMPv3follow:Messageintegrity:HelpsensurethatapackethasnotbeentamperedwithintransitAuthentication:VerifiesthatthemessageisfromavalidsourceEncryption:ScramblesthecontentsofapackettopreventitfrombeingseenbyanunauthorizedsourceSNMPv3providesforbothsecuritymodelsandsecuritylevels.
Asecuritymodelisanauthenticationstrategythatissetupforauserandthegroupinwhichtheuserresides.
Asecuritylevelisthepermittedlevelofsecuritywithinasecuritymodel.
AcombinationofasecuritymodelandasecurityleveldetermineswhichsecuritymechanismisemployedwhenhandlinganSNMPpacket.
Threesecuritymodelsareavailable:SNMPv1,SNMPv2c,andSNMPv3.
控制平面控制平面管制(减少DoS攻击)ICMPIPv6路由更新管理SSH、SSL控制平面输入处理器交换的数据包控制平面输出管理SNMP、Telnet进入的数据包数据包缓冲区CEF/FIB查询静寂模式(阻止检测)输出数据包缓冲区本地交换的数据包数据表第18页,共19页2011Cisco和或其附属机构.
保留所有权利.
本文档中所含信息是Cisco公开发布的信息.
基于来源的远程触发黑洞过滤如果贵企业知道攻击的来源(例如通过分析NetFlow数据得知),您可以应用诸如ACL等遏制机制.
检测到攻击流量并对其分类后,您可以为相关的路由器创建和部署适当的ACL.
鉴于这个手动流程有时非常复杂和耗时,许多客户选择使用边界网关协议(BGP)快速、高效地向所有路由器发送移除信息.
这项名为RTBH的技巧能够将受害人IP地址的下一次跳转连接至null接口.
这样,传输至受害者的流量便会在网络入口处被移除.
另一种方案是移除特定来源的流量.
这种方法与之前描述的移除流程相似,不过它依赖于先前存在的URPF部署,会在数据包来源"无效"时将其移除,在这里,无效包括到null0路由.
采用与基于目的地的移除方法相同的机制,发送一项BGP更新,将特定来源流量的下一次跳转设定为null0.
此后,在启用了URPF的接口处,指定来源的流量将全部被移除.
BGP触发的移除机制虽然可扩展,但响应攻击时的精细级别有限:如之前所述,它们会移除所有包含黑洞目的地或来源的流量.
在大多数情况下,当发生大型攻击时,这样的响应方式非常有效,无疑消除了所有间接伤害(请参见图8).
图8.
采用基于来源的RTBH过滤机制实时、线速地防御DDoS攻击单播反向路径转发单播反向路径转发(uRPF)能够帮助限制企业网络上的恶意流量.
它支持路由器验证被转发的数据包中源地址的可达性.
该功能可限制欺骗地址出现在网络中的可能性.
如果源IP地址无效,数据包将被移除.
CiscoASR1000系列路由器支持严格模式和松散模式.
当管理员在严格模式下使用uRPF时,必须使用路由器用来转发返回数据包的接口来接收数据包.
在严格模式下配置的uRPF可能会因接收接口与路由器用来发送返回流量的接口不同而移除合法流量.

RackNerd美国大硬盘服务器促销:120G SSD+192TB HDD,1Gbps大带宽,月付$599,促销美国月付$服务器促销带宽

racknerd怎么样?racknerd最近发布了一些便宜美国服务器促销,包括大硬盘服务器,提供120G SSD+192TB HDD,有AMD和Intel两个选择,默认32G内存,1Gbps带宽,每个月100TB流量,5个IP地址,月付$599。价格非常便宜,需要存储服务器的朋友可以关注一下。RackNerd主要经营美国圣何塞、洛杉矶、达拉斯、芝加哥、亚特兰大、新泽西机房基于KVM虚拟化的VPS、...

DogYun香港BGP月付14.4元主机简单测试

前些天赵容分享过DogYun(狗云)香港BGP线路AMD 5950X经典低价云服务器的信息(点击查看),刚好账户还有点余额够开个最低配,所以手贱尝试下,这些贴上简单测试信息,方便大家参考。官方网站:www.dogyun.com主机配置我搞的是最低款优惠后14.4元/月的,配置单核,512MB内存,10GB硬盘,300GB/50Mbps月流量。基本信息DogYun的VPS主机管理集成在会员中心,包括...

hostyun评测香港原生IPVPS

hostyun新上了香港cloudie机房的香港原生IP的VPS,写的是默认接入200Mbps带宽(共享),基于KVM虚拟,纯SSD RAID10,三网直连,混合超售的CN2网络,商家对VPS的I/O有大致100MB/S的限制。由于是原生香港IP,所以这个VPS还是有一定的看头的,这里给大家弄个测评,数据仅供参考!9折优惠码:hostyun,循环优惠内存CPUSSD流量带宽价格购买1G1核10G3...

端口是什么为你推荐
真正免费的网络电话谁知道哪个真正免费的网络电话啊?告诉我把3?太感谢了免费开通黄钻花钱开通黄钻和免费开通有什么区别?bluestacksBluestacks安卓模拟器是什么机型的?ps抠图技巧ps抠图多种技巧,越详细越好,急~~~~~~~创维云电视功能很喜欢创维云电视,它到底有哪些独特功能?分词技术百度的中文分词原理是什么?与IK分词有区别吗?虚拟机软件下载谁有好用的虚拟机软件?php购物车php session实现购物车的原理防钓鱼如何才能防钓鱼网站中国杀毒软件排行榜中国杀毒软件排行
独立ip主机 新世界电讯 howfile 北京双线 广州服务器 百度云1t 网游服务器 空间登陆首页 美国凤凰城 电信网络测速器 贵阳电信 空间服务器 美国十大啦 godaddy中文 wannacry勒索病毒 瓦工技术 ddos攻击器下载 天鹰抗ddos防火墙 主机游戏 主机托管 更多