思科路由器和安全设备管理器(SDM)概述
Cisco SDM 是针对基于 Cisco IOS®软件的路由器的 Web 的直观设备管理工具。 Cisco SDM 通过智能向导帮助客户快速轻松地部署、配置并监控思科® 路由器,无需了解命令行界面( CLI ),从而简化了路由器和安全性配置。 Cisco 830 系列、 Cisco 1700 系列、 Cisco 1800 系列、 Cisco 2600XM 、 Cisco 2800 系列、 Cisco 3600 系列、 Cisco 3700 系列和 Cisco 3800 系列路由器以及某些 Cisco 7200 系列和 Cisco 7301 路由器都支持 Cisco SDM 。
Cisco SDM 允许用户在思科路由器上轻松配置路由、交换、安全性和服务质量( QoS )业务,同时通过性能监控功能帮助实现主动管理。无论是部署新路由器还是在现有路由器上安装 Cisco SDM ,用户现在都能够远程配置并监控这些路由器,无需使用 Cisco IOS 软件 CLI 。 Cisco SDM GUI 能够帮助 Cisco IOS 软件的非专家用户顺利开展日常工作、提供易用的智能向导、自动化路由器的安全管理功能、并帮助用户访问全面的在线帮助与指导。
思科SDM:易用性和应用智能的结合
思科SDM是一种直观的、基于Web的工具,用于在Cisco IOS路由器上方便地、可靠地部署和管理各种服务。
- 易用性:智能向导,内置教程
- 应用智能:经过TAC认可的IOS配置知识库
- 集成服务管理:路由,交换,安全,QoS
新产品
SDMv2.0:内嵌式服务管理
- 利用思科TAC知识库诊断VPN和WAN
- 路由器服务的集成化管理:路由、交换、安全、QoS
- 基于Web的、便于使用的管理工具集成在所有Cisco 1800、2800和3800系列平台中。
SDMv2.0:内嵌式服务管理(续)
- 新的安全功能
- 内嵌IPS、动态特征库升级和特征定制
- Easy VPN服务器和AAA
- 基于角色的路由器访问权限
- DMVPN:分支到分支,冗余中心
- 面向IPSec VPN的数字证书
- SSHv2
- QoS策略和NBAR
- VPN、WAN连接诊断
- 实时的、图形化的路由器和应用流量监控
- 主要UI改进 -- 路由器服务显示面板,基于任务的导航界面
应用智能
SDM的关键特性和优势
表1 SDM的关键特性和优势 |
DM特性 |
为客户带来的优势 |
易用性
针对思科路由器的路由、交换、安全、QoS管理的图形化用户界面 |
通过提高网络和安全管理员的生产率,降低思科路由器的TCO。 |
应用智能
关于不同IOS功能之间的交互、行业最佳实践和TAC推荐配置的知识 |
通过降低出现配置错误的可能性,延长网络正常运行时间 |
| 实时图形化监控和基于角色的访问权限 |
有效地发挥IT人员和技术水平有限的远程分支机构管理员的作用 |
| 便于理解的路由器和网络资源使用情况图表。只读的用户档案。 |
服务供应商可以通过为最终客户提供一个图形化的、只读的CPE服务视图,降低OPEX。 |
WAN和VPN诊断
与关于恢复措施的TAC知识库集成的第二层及其以上的诊断 |
通过路由器上的路由、LAN、WAN和安全特性的集成,进行详细的故障诊断,从而缩短平均故障修复时间 |
SDM使用场合
- 思科路由器前期部署
- 针对快速的LAN/WAN设置、基本的路由器安装设置的起步向导
- 在进行大规模部署时与IE2100/CNS集成
- IOS安全管理
- 集成化的路由和安全配置,监控和诊断
- 图形化防火墙和ACL策略视图(流量的流向)
- 带有QoS的IPSec VPN(配置和监控)
- NAT策略
- 日常路由器管理(监控和诊断)
- 性能监控,接口状态,硬件和软件清单
- 安全审查,防火墙日志,VPN隧道监控
全面的IOS功能支持
表2 IOS功能 |
| UI功能 |
起步向导,IOS主页,性能监视器,系统日志浏览器,恢复出厂设置,安全审核,单步路由器锁定 |
| VPN |
Easy VPN服务器,Easy VPN Remote,IPSec,基于IPSec的GRE,DMVPN(完全网格/集中星型),V3PN,数字证书,VPN监视器,诊断 |
| 防火墙 |
CBAC,DMZ,防火墙日志,策略表 |
| 入侵防范(IPS) |
采用动态特征库升级和特征定制功能的IPS |
| 路由 |
OSPF,EIGRP,RIPv2,静态 |
| 接口 |
10/100/1000以太网,xDSL,串行T1/E1,ISDN BRI,AM |
| WAN |
FR,PPPoE,PPP,HDLC,RFC 1483,拨号备用,ADSL自动检测,QoS,NBAR,诊断 |
| 高级配置 |
NAT,ACL,VLAN,CLI预览模式,DHCP服务器,日期/时间,NTP,DNS,SSHv2,管理权限策略 |
SDMv2.0的特性和优势
表3 SDMv2.0的特性和优势 |
SDMv2.0的特性 |
为客户带来的优势 |
Easy VPN服务器
基于向导的配置和对远程接入VPN用户的实时监控。与路由器上的或者远程的AAA服务器集成。 |
在中心路由器或者分支机构接入路由器上为远程办公人员或者小型办公室提供可扩展的、便于管理的、安全的远程接入服务 |
入侵防范(IPS)
动态特征库升级,缺省特征库的迅速部署,定制特征的能力,在特征部署之前对路由器资源进行检验 |
基于网络的防范措施可以有效地防御和制止蠕虫、病毒和OS/协议漏洞攻击。
为零日防范定制攻击特征,防御蠕虫/病毒的新型变种 |
基于角色的访问权限
出厂缺省设置中设定的角色:管理员,只读,防火墙,Easy VPN Remote |
在网络业务、安全业务和最终用户之间安全地、合理地划分路由器 MSSP可以为最终客户提供CPE服务的图形化只读视图 |
WAN和VPN诊断
与关于恢复措施的TAC知识库集成的第二层及其以上的诊断 |
通过路由器上的路由、LAN、WAN和安全特性的集成,详细地诊断IPSec VPN或者WAN连接 |
QoS策略
3个预先定义的种类:实时,关键业务,尽力而为 |
方便地、有效地针对不同的业务需求(话音/视频、企业应用、Web等)优化WAN/VPN带宽和应用性能 |
NBAR
应用流量性能监控 |
根据预定的服务策略,实时地检验WAN/VPN带宽的应用使用情况。 |
SSHv2
自动为SDM和路由器之间的所有加密通信使用SSHv2 |
PC和思科路由器之间的安全管理。 |
基于任务的SDM UI
新设计的主页,关键安全任务的统一起点,相关任务之间的最佳导航 |
更加快捷地配置安全功能 -- IPSec VPN、防火墙、ACL、IPS等。 |
实时网络和路由器资源监控
LAN/WAN流量和带宽使用情况的图形化视图。 |
更加快捷地分析路由器资源和网络资源的使用情况。 |
| 数字证书 |
比预先共享密钥更加便于扩展、更加安全的解决方案。通过SDM、IOS CA和EzSDD的组合,现在变得更加便于使用和部署。 |
思科路由器和IOS版本支持
表4 思科路由器和IOS版本支持 |
SDM支持的平台 |
支持SDM的最低IOS版本 |
| 831, 836, 837 |
12.2(13)ZH, 12.3.2XA, 12.3(2)T |
1701, 1711, 1712
1710, 1721, 1751, 1751-v, 1760, 1760-v |
12.2(15)ZL, 12.3.2XA,
12.2(13)ZH, 12.2(13)T3 |
| 1841 |
12.3(8)T4 |
2610XM, 2611XM, 2620XM, 2621XM,
2650XM, 2651XM, 2691 |
12.2(11)T6 , 12.3(1)M, 12.3(2)T |
| 2801, 2811, 2821, 2851 |
12.3(8)T4 |
| 3620, 3640, 3640A, 3661, 3662 |
12.2(11)T6, 12.3(1)M, 12.3(2)T |
| 3725, 3745 |
12.2(11)T6, 12.3(1)M, 12.3(2)T |
| 3825, 3845 |
12.3(11)T |
| 7204VXR, 7206VXR, 7301 |
12.3(2)T, 12.3(3)M |
思科SDM的上市情况和订购
| 表5 思科SDM的上市情况和订购 |
| Cisco 1800、2800和3800系列路由器(所有SKU,包括捆绑) |
出厂时预装SDM |
所有VPN捆绑:
1700,2600XM,2691,3700,7204VXR,7206VXR,7301 |
出厂时预装SDM |
1700到3700系列(非捆绑SKU)
所有具有K8、K9或者FW/IDS功能的IOS功能集 |
出厂时预装SDM |
830到3700路由器SKU
(在出厂时没有自动加载SDM) |
路由器-SDM
可配置选项 |
|
