產品概述一般問題問：目前推出了哪些新的集成多業務路由器產品，它們部署在網絡中的哪些地方？

答：目前，思科系統？公司正在用能夠提供安全的數據、語音和視頻服務的新型集成多業務路由器重新定義最佳路由功能。憑借思科20多年來的領先地位和創新傳統，固定配置的Cisco 800、1800，和模塊化的Cisco 1800、2800、3800集成多業務路由器不但能提供業界最全面的安全服務，還能智能地在單一永續系統中嵌入數據、安全和語音技術，以可擴展的快速方式提供關鍵業務應用。Cisco 800、1800、2800和3800系列適用于小企業和大型企業的分支機構，提供了一種功能豐富的集成解決方案，便于連接遠程辦公機構、移動用戶、合作伙伴外部網或電信運營商管理的客戶端設備（CPE）。

思科的集成多業務路由器能夠透明地與Cisco 7000系列路由器在總部網絡邊緣互操作。不僅如此，Cisco 7200系列和7301匯聚路由器還能使用相同的Cisco IOS？ 軟件創新、全面的高級安全特性，因而使客戶能夠建立真正有效的集成式端到端智能信息網絡。憑借用于企業數據中心的Cisco 7600系列路由器，客戶可擁有一個具有高可擴展性、模塊化的VPN和集成化安全解決方案。

思科集成多業務路由器是思科自防御網絡的一個主要組件，使客戶可實現路由和安全策略的同步，降低運營成本，并提高整個網絡的安全性。利用基于Cisco IOS軟件的VPN、防火墻和入侵防御系統（IPS），以及可選的增強VPN加速、入侵檢測系統（IDS）和內容引擎網絡模塊（Cisco 2800和3800系列），思科為分支機構路由器提供了業界最為強大的自適應安全解決方案。

問：集成化路由器安全解決方案的優勢是什么？

答：集成化路由器安全解決方案采用了PIX？技術和IDS傳感器技術，將強大的Cisco IOS 軟件功能與業界領先的LAN/WAN連接和世界級安全特性相結合。

通過將Cisco IOS軟件安全集成到路由器中，能夠為客戶提供以下優勢：

“充分利用已有設施” —— 充分利用現有網絡基礎設施，無需添置硬件，就能通過Cisco IOS 軟件在路由器上實施新的安全特性；

“將安全功能部署到最需要的地點” —— 靈活地將防火墻、IPS和VPN等安全功能應用到網絡的任意位置，以提高安全保護能力；

“保護網關” —— 可在網絡的所有入口處部署最佳安全功能；

“節省資金和時間” —— 減少設備數量，從而降低了培訓和管理成本；

“保護網絡基礎設施” —— 保護路由器，防御直接針對網絡基礎設施的攻擊，例如分布式拒絕服務（DDoS）攻擊。

問：Cisco 800、1800、2800和3800集成多業務路由器在安全功能方面有什么區別？

答：在Cisco 800、1800、2800和3800集成多業務路由器的設計中，基于硬件的加密是一個標準特性，從而在每個路由器中部署了安全特性。這種內部的基于硬件加密加速使CPU無需再執行VPN流程，在對路由器CPU影響最小的情況下提高了VPN吞吐率。如需更高VPN吞吐率或可擴展性，還可選擇VPN加密高級集成模塊（AIM）。這些路由器也能以與相應的Cisco IOS軟件安全鏡像相捆綁的形式提供，為客戶提供豐富、集成的路由和安全軟件包。補充型Cisco 7000高端解決方案也支持安全捆綁。如需完整的可用路由器安全捆綁列表，請訪問http://www.cisco.com/go/routersecurity.

思科自防御網絡問：集成多業務路由器還有哪些安全功能？

答：作為思科自防御網絡的有機組成部分，Cisco 800、1800、2800和3800路由器支持范圍廣泛的安全特性，思科自防御網絡是一種能夠幫助各機構識別、預防和應對網絡安全威脅的戰略。

問：思科自防御網絡戰略有哪些關鍵組件？

答：思科自防御網絡是建立在集成化安全、協作式安全系統和自適應威脅防御基礎之上，以網絡基礎保護為底層的支持結構。

SDN集成化安全使每個網絡元素都成為防御點，這其中包括路由器、交換機、設備和終端，從而為網絡安全帶來了革命性的改變。集成化安全使路由器成為了保護網絡的關鍵設備，其核心因素包括：安全連接、威脅防御，以及信任和身份識別。
安全連接 —— 提供便于擴展、可傳輸多種流量的安全網絡連接。例如VPN、動態多點VPN（DMVPN）、多虛擬路徑轉發（VRF）和多協議標簽交換（MPLS）安全環境、語音和視頻型VPN（V3PN）以及高度安全語音等。

威脅防御 —— 利用網絡服務預防網絡攻擊和威脅并對其作出相應。包括Cisco IOS IPS和Cisco IOS防火墻。

信任和身份識別 —— 利用驗證、授權和記帳（AAA），公共交換密鑰（PKI）及802.1x等技術，使網絡能夠智能地保護終端。

憑借SDN協作安全系統，安全成為了一個全網系統，包括終端、網絡和策略。例如網絡準入控制（NAC）等解決方案，其中多項服務和設備相互協作，通過主動管理而防御攻擊。

SDN自適應威脅防御（ATD）可動態防御多個層次的威脅，更為緊密地控制網絡流量、終端、用戶和應用，從而進一步降低了安全風險。ATD將服務整合到少數幾個設備上，從而簡化了架構設計并降低了運營成本。這種創新方式在高性能解決方案中將安全、多層智能、應用保護，以及網絡級控制和威脅抑制進行了出色的結合。ATD的主要組件包括Anti-X防御、應用安全，以及網絡控制和抑制，實現了經過更出色協調的威脅防御

Anti-X防御 — 通過創新的流量和內容導向安全服務，防御和應對網絡威脅。核心安全增強技術包括防火墻、入侵防御系統（IPS）和異常事件檢測，它們可與應用檢測服務，如網絡防病毒、防間諜軟件、防垃圾郵件、分布式拒絕服務（DDoS）防御和URL過濾等相結合。這為重要的網絡安全實施點提供了精確的流量檢測服務，因此可將非法流量在網絡中廣泛傳播前抑制它們。

例如：通過高級應用檢測和控制來保護Web服務器免遭損害－HTTP和電子郵件檢測引擎可阻止用戶在Web服務器上書寫或放置內容。

應用安全－通過應用級訪問控制、應用檢測，以及正確的應用使用策略、Web應用控制和交易保密性等的實施，提供了先進的業務應用保護。

例如：通過內部入侵防御來抵御網絡邊緣處的蠕蟲－特征定制和字符串引擎支持可在邊緣抵御蠕蟲的攻擊（防Spyware、防Malware等）。

網絡控制和抑制－網絡智能和安全技術的虛擬化提供了先進的審查和關聯功能，可通過主動管理和防御功能，控制和保護IP語音（VoIP）等網絡組件或服務。

例如：通過VRF感知型防火墻在保持業務連續性的同時實現最高安全性 — 針對每個上下關聯的防火墻策略使用戶可按部門定制安全策略，而不會干擾工作流程。

網絡基礎保護（NFP）是思科自防御網絡的一個不可缺少的常用組件，可保護網絡基礎設施免遭攻擊和安全漏洞的影響，尤其在網絡級，這一功能尤為明顯。實例包括控制平面監管、基于網絡的應用識別（NBAR）和AutoSecure等。

問：作為思科自防御網絡戰略和自適應威脅防御的一部分，路由器最近有了哪些改進？

答：隨著12.3（14）T Cisco IOS Firewall的面世，思科繼續實施自防御網絡安全戰略的下一階段，針對基于應用的潛在攻擊和應用誤用而提供高級應用檢測和控制。Cisco IOS 12.3（14）T版本中的增強內部IPS功能提升了防御新威脅類別的能力，新威脅包括間諜軟件、網絡病毒和與IM應用相關的Malware，大大提高了防御蠕蟲和病毒攻擊的功能。對虛擬防火墻的支持降低了運營成本，而對虛擬隧道接口（VTI）的支持則簡化了VPN的配置和管理。

問：這些安全功能是否也適用于高端路由器？

答：是。思科自防御網絡不僅限于分支機構使用。它可通過Cisco 7000擴展到總部，提供端到端保護。

問：是否有安全特性支持Cisco 1700、2600和3700系列路由器，而不支持集成多業務路由器？

答：沒有，集成多業務路由器構建在Cisco 1700、2600和3700特性集的基礎之上，且通過硬件和軟件進行了增強，提供更為強大的安全解決方案。

Cisco IPSec VPN問：集成多業務路由器上支持哪些類型的VPN？

答：集成多業務路由器提供IPSec加密和隧道協議，如數字加密標準（DES）、三重DES（3DES）、高級加密標準（AES）、通用路由封裝（GRE）、第二層轉發（L2F）、L2TP、Cisco Easy VPN、V3PN、DMVPN、多VPN路由和轉發（多VRF），以及多協議標簽交換（MPLS）安全環境。

問：高端路由器是否具備這些特性？

答：盡管它們不使用板載技術，Cisco 7200系列、Cisco 7301和Cisco 7600系列路由器仍支持前面列出的所有VPN特性。

問：還有哪些特性提高了基于路由器的IPSec VPN的可擴展性和安全性？

答：集成的Cisco IOS證書授權服務器提供了一種在IPSec基礎設施上在內部簡單地實現數字證書安全性的方式。安全設備配置為部署遠程站點的安全配置和數字證書提供了一種自動化程度較高的機制。

問：內部和VPN加密AIM有哪些主要特性？

答：Cisco 800、1800、2800和3800系列路由器采用了內部硬件加密加速，使主處理器無需再處理IPSec（AES，DES和3DES）加密和VPN流程，在盡量不影響路由器CPU的情況下提高了VPN的吞吐率。如果還需要提高VPN吞吐率或擴展能力，可以選擇添加VPN加密AIM.利用這種方式，可以提高VPN的性能，且降低路由器CPU總體使用率。與以前的型號相比，可選AIM能夠提高加密性能和擴展能力。內部VPN加速器和基于AIM的VPN加速器的主要特性包括：

能夠以數倍于全雙工T3/E3的速度對IPSec加速；

為所有模塊（內部和AIM）提高硬件加速DES、3DES和AES（128、192和256）加密算法；

加速器支持Rivest、Shamir、Aldeman（RSA）算法特征和Diffie-Hellman驗證；

加速器利用安全散列算法1（SHA-1）或消息摘要算法5（MD5）散列算法保證數據完整性；

加速器添加了VPN加密模塊，在硬件中支持第三層（IP負載壓縮協議[IPPCP]）壓縮。

除通用IPSec外，集成多業務路由器還可結合使用IPSec和GRE，這是思科獨家開發的解決方案，由于能夠通過VPN傳輸動態路由協議，因而此隧道技術提供了高于純IPSec解決方案的網絡永續性。利用支持IPSec的GRE，思科集成多業務路由器不但支持AppleTalk和Novell互聯網分組交換（IPX）等協議，還支持視頻等組播和廣播應用。

問：要使用內部和AIM VPN加密功能，需哪些特性集？

答：如需使用內部或AIM VPN加密功能，需以下Cisco IOS軟件特性集：

高級企業服務

高級IP服務

高級安全如果想詳細了解相應特性集的選擇方法，請訪問：http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/prod_bulletin09186a00801af451.html.

問：在沒有VPN加密AIM的情況下，集成多業務路由器是否支持IPSec加密？

答：支持，集成多業務路由器具有內部VPN加速。通過VPN加密AIM，可獲得更高性能和擴展性。

問：集成多業務路由器可使用哪些加密AIM？

答：表1列出了模塊化Cisco 1800、2800和3800系列平臺上支持的AIM.

（責任編輯: 51CTO.com TEL：010-68476606)