成 人 黄 片免费观看,黄 色 视 频 在 线 免费观看,成人黄网站片免费视频

      1. <rp id="bvb70"><acronym id="bvb70"><input id="bvb70"></input></acronym></rp>
      2. 產品與解決方案

        思科 ASR 1000 系列路由器的網絡安全功能
        發表時間:2021-03-25     閱讀次數:

        詳細介紹

        思科 ASR 1000 系列路由器的網絡安全功能

        本產品手冊概括介紹了思科? ASR 1000 系列匯聚多業務路由器提供的網絡安全功能。產品概述

        與五年前相比,當前業務應用的采用速度顯著提升。隨著業務需求的增長和技術的進步,網絡已從一種基本連接設施演變為一個服務交付平臺。

        在快速發展的環境中,企業總部越來越需要在全球范圍內擴展廣域網 (WAN) 和城域網 (MAN) 服務,同時不會面臨安 全、性能和網絡正常運行時間方面的風險。滿足這些需求并最大限度地降低運維復雜性和成本是一項持續的挑戰,而集成式架構方法可幫助應對這一挑戰。

        為幫助跟上這種趨勢,思科集成路由器安全機制提供全面的安全服務,智能地嵌入路由和安全功能,從而以可擴展的方式快速交付任務關鍵型業務應用。

        思科 ASR 1000 系列路由器提供了經濟高效、可擴展且集成了安全功能的廣域網和城域網服務匯聚,可輕松簡單地將業務資源安全地擴展到遠程站點、業務合作伙伴、遠程員工和移動員工。圖 1 顯示思科 ASR 1000 系列路由器的產品組合。

        思科 ASR 1000 系列路由器是業界首款高度可擴展的廣域網和互聯網邊緣路由器平臺,可為 VPN、防火墻、基于網絡的應用識別 (NBAR)、NetFlow、服務質量 (QoS)、IP 組播、訪問控制列表 (ACL)、逆向路徑轉發 (RPF) 和基于策略的路由 (PBR) Cisco IOS? 軟件服務提供嵌入式硬件加速,無需使用單獨的服務刀片。不僅如此,思科 ASR 1000 系列路由器采用冗余路由處理器和嵌入式服務處理器,同時具備基于軟件的冗余技術,恢復能力達到了企業級水平。在啟用相關服務的情況下,思科 ASR 1000 系列路由器的路由性能以及 IP 安全 (IPsec) VPN 和防火墻加速能力最高可達到以前中端匯聚路由器的 20 倍,能夠以經濟高效的方法來滿足最新的服務匯聚要求,并充分利用現有網絡設計和最佳運營實踐。

        思科 ASR 1000 系列路由器采用的思科流處理器是業界首款可擴展且可編程的應用感知型網絡處理器,集廣域網和城域網服務匯聚功能與各種安全功能于一身,可為客戶帶來以下優勢:

        集成了高級 QoS IP 組播功能的高度可擴展的站點間和遠程接入 VPN 匯聚

        高級邊界安全性、應用可視性和高速日志記錄

        檢測并應對公司服務器和其他資源上的分布式拒絕服務 (DDoS) 攻擊

        通過邊緣路由器內置的控制平面分離和保護功能提供出色的恢復能力,確保目標邊緣路由器的持續可用性

        與未來版本兼容的架構:能夠在保留平臺機箱和其他組件的同時,提升吞吐量或增加服務

        將多種服務匯聚至單個平臺中,從而簡化運維并降低培訓成本


        應用場景

        可擴展的安全多服務匯聚

        在總部匯聚站點,思科 ASR 1000 系列部署于思科 7200 7301 路由器與思科 7600 系列路由器和思科 Catalyst?

        6500 系列交換機之間。思科 7200 7301 路由器同樣基于嵌入式服務匯聚,可輕松簡單地為中小型網絡提供經濟高效的廣域網匯聚,但是在有服務運行時,性能和可擴展性僅限于 OC-3 速度級別。思科 7600 系列路由器和思科Catalyst 6500 系列交換機的性能可擴展至 400 mpps,并且在架構上基于附加服務刀片來實現加速。這雖然會增加成本,但可為大型企業提供高度可擴展的廣域網和城域網匯聚。

        過去,高性能安全服務總是需要使用額外的硬件,要么添加設備,要么在路由器或交換機中添加服務刀片。借助創新的思科流處理器,思科 ASR 系列路由器在啟用高性能服務的情況下,無需使用額外的硬件或服務刀片,即可保持最高

        20 mpps 的速度。該性能水平最高可達思科 7200 7301 性能的 20 倍,同時還可通過網絡服務集成降低復雜性并實現成本優勢。

        多服務匯聚部署的主要優勢包括:

        嵌入式服務架構無需針對加密、防火墻和服務質量 (QoS) 等網絡和安全功能配置額外的服務刀片,并為執行經濟高效、高度靈活和可擴展的多服務匯聚奠定了良好的基礎,可幫助 IT 人員迅速應對不斷變化的廣域網要求。

        可與未來版本兼容的架構能夠輕松地擴展帶寬以實施加密及其他服務,只需更換思科 ASR 1000 系列嵌入式服務處理器 ( ESP) 即可,機箱和其余組件全部保持不變。

        多服務匯聚部署以可擴展、經過優化的方式將 QoS IP 組播與 VPN 相集成,實現了大規模的語音和視頻集成。

        該解決方案具有優異的可擴展性和性能:最高支持 4000 個站點間隧道和 7 Gbps 的加密速度 (20-Gbps ESP [ESP20])。

        該解決方案以硬件冗余(思科 ASR 1000 系列路由處理器 1 [RP1]、路由處理器 2 [RP2] ESP Cisco IOS

        軟件冗余的形式提供高可用性。

        下一代分支機構和托管客戶端設備

        在遠程分支機構中,作為思科取得巨大成功的集成多業務路由器產品組合的最新成員,思科第二代集成多業務路由器(ISR G2) 系列采用思科 1900、2900 3900 系列平臺,可提供業界領先的服務集成。思科 ASR 1002-F 1002 路由器可為大型分支機構和區域辦事處擴展網絡和安全服務的集成,將性能和可擴展性提升到更高的水平。

        分支機構和托管客戶端設備 (CPE) 部署的主要優勢包括:

        該解決方案支持從 DS-0 OC-192 的所有接口。

        該解決方案可幫助分支機構通過多種類型的以太網服務級別協議 (SLA) 正確進行路由。

        該解決方案可優化廣域網以規避運營商網絡性能下降帶來的不利影響,從而進一步保證任務關鍵型應用正常運行。

        外型緊湊(兩個機架單元 [2RU]);Cisco IOS 軟件的冗余性和模塊化增強了穩健性,即使 Cisco IOS 軟件發生故障,也照樣能管理設備。

        該解決方案提供了前所未有的超高性價比:支持網絡地址轉換 (NAT) 4 Gbps IPsec 5 Gbps 10 Gbps

        防火墻,以及廣域網優化和高性能語音與視頻集成。


        產品架構

        思科 ASR 1000 系列路由器上的硬件架構相對于傳統中端路由器架構而言是一項巨大的轉變。在傳統的中端路由器架構中,管理平面、控制平面和轉發平面全部整合在單個 CPU 中。這雖然具有很高的成本效益,但在處理多種服務時只能提供有限的可擴展性。

        思科 ASR 1000 系列路由器采用硬件方式將功能分離到單獨的處理器中:

        路由處理器負責處理控制平面流量;實施 IP 路由協議并管理系統。

        ESP 負責處理轉發平面流量;執行數據包處理功能,例如防火墻檢查、ACL、加密和 QoS。

        共享端口適配器 (SPA) 承載卡中裝有 SPA,用于提供接口 (I/O) 連接。

        2 顯示采用冗余路由處理器和 ESP 的思科 ASR 1006 路由器的架構。思科 ASR 1004、1002 1002-F 路由器全部采用單個路由處理器和 ESP,并且以軟件方式實現冗余。

        分布式控制平面

        思科 ASR 1000 系列路由器采用分布式控制平面,即無論是路由處理器、ESP 還是 I/O,每個處理器都具有自己的CPU,可運行各種組件并執行必需的內務處理,從而釋放路由處理器用于管理轉發操作或 I/O 操作的資源。

        路由處理器 CPU 本身將運行控制平面;例如,發往路由器的內部網關協議 (IGP) 流量、通過管理端口傳入的流量,等等。

        ESP 中,稱為轉發引擎控制處理器 (FECP) 的控制處理器負責引導流處理器和加密芯片(其中包括 Cavium Networks 開發的軟件),包括在發生故障時重新啟動它們。

        每個 SPA 承載卡都有其自己的 I/O 控制處理器 (IOCP),用于執行 SPA 聯機插拔 (OIR) 操作和運行 SPA 驅動程序。


        集中式轉發架構

        思科 ASR 1000 系列路由器采用集中式轉發架構;所有流量都流經集中式 ESP,并在其中執行數據包處理(防火墻、ACL、加密、QoS 等)。管理員可以通過此設置配置相關功能,其配置過程路由器與思科 7200 系列路由器一樣;

        例如,可以按相同的方式配置加密映射、保護等,而無需使用特定于硬件的命令。

        但是,在轉發處理器中可并行執行多種功能,從而實現大規模擴展和高性能。

        思科流處理器

        下一代思科流處理器處于網絡轉發處理器的核心位置,其下一代網絡處理器技術可為分類、服務集成和流量管理提供真正大規模并行和靈活的流處理功能。圖 3 顯示了思科流處理器的框圖。

        流處理器不僅僅是一款芯片或硬件解決方案;它提供了一個將應用于未來思科產品的下一代硬件和軟件架構。在思科

        ASR 1000 系列路由器的當前實施中,此處理器包含兩個主要芯片:

        思科流處理器引擎:該引擎由 40 個運行速率為 900 MHz 1.2 GHz、功能強大的數據包處理引擎(核心)組成。如此強大的大規模并行處理能力可確保整個負載和幀報頭均能得到適當處理;旧,該芯片專用于加速Cisco IOS 軟件功能(如防火墻、NBAR NetFlow),并可減少在路由器中添加外部服務刀片的需求。

        思科流量管理器:流量管理器是一個硬件隊列引擎,包含數百個自定義網絡處理器資源,每個資源都可以靈活地處理來自眾多應用的流,將其引導至網絡中任意位置的 100,000 多個隊列中。該芯片可實現更快速且高度可擴展的 QoS,同時最大限度地減少了部署整形、策略管制和類似功能產生的弊端。

        此外,ESP 上的片上和片外資源可幫助流處理器加快特定功能的運行速度:

        加密引擎采用多個數據包處理核心來加快加密功能,實現了最高 7 Gbps IPsec 吞吐量。該引擎將數據包發送到流量管理器,數據包在其中經過緩沖、排隊之后調度到加密引擎中,從而可以通過數據包處理元件 (PPE) 訪問該引擎。加密操作完成后,數據包將返回到 PPE 以進行其他數據包處理。

        可擴展的 IP 組播加密:三種機制,即加密引擎中的多個核心、加密引擎與流處理器之間的全循環背壓機制以及一個大型加密引擎緩沖區,均有助于實現高度可擴展的 IP 組播加密,避免在將大量復制數據包引導至加密引擎時出現丟包現象。


        多千兆位高性能防火墻:強大的多核流處理器可通過 20 Gbps ESP (ESP20) 幫助實現吞吐量高達 20 Gbps

        Cisco IOS 防火墻和 NAT。即使啟用路由、QoS NetFlow 等關鍵功能,仍可保持這種性能水平。

        其他資源可幫助流處理器針對一系列功能實現硬件功能加速,如網絡地址和前綴查找、散列查找、加權隨機早期檢測 (WRED)、流量管制器、范圍查找,以及在處理數據包時進行高級分類和 ACL 加速的三重內容可尋址存儲器 (TCAM)。

        軟件架構:軟件冗余

        6 機架單元 (6RU) 思科 ASR 1006 采用冗余路由處理器和 ESP。每個路由處理器都可以運行自己的 Cisco IOS 軟件, 并且您可以在它們之間配置服務中軟件升級 (ISSU),從而使系統可以在發生故障時即刻恢復。2RU 思科 ASR 1002-F 1002 4RU 思科 ASR 1004 單元全部采用單個路由處理器和單個 ESP,因此無法實現硬件冗余。作為替代方案, 它們以軟件方式提供高可用性:

        您可以在單個路由處理器上運行兩個 Cisco IOS 軟件,它們相互之間可以執行支持狀態切換的無中斷轉發 (NSF SSO)。例如,當活動的 Cisco IOS 軟件正在建立開放最短路徑優先 (OSPF) 鄰接關系并填充 OSPF 據庫時,備用 Cisco IOS 軟件將通過進程間通信消息來隨時了解最新情況。實際上,如果活動的 Cisco IOS 件發生故障且備用 Cisco IOS 軟件需要接管,則數據庫的另一個副本將可用:OSPF 數據庫將保留,而不會丟失鄰接關系。

        ISSU 受思科 IOS 軟件和 SPA 驅動程序支持,可在不中斷服務的情況下進行系統更新。

        在硬件中執行的控制平面保護 (CoPP) 機制可在遭受嚴重 DDoS 攻擊時提供最大限度的保護和恢復能力,確保系統正常運行并允許管理員進行訪問。

        思科自防御網絡

        思科 ASR 1000 系列路由器是思科自防御網絡 (SDN) 不可或缺的組件。思科自防御網絡是一個出色的架構框架,可幫助企業識別、防范和應對網絡安全威脅。思科自防御網絡基于思科集成安全、思科協作安全系統和思科自適應威脅防御機制構建,并采用思科網絡基礎保護作為基礎支持結構。

        思科集成安全將包括路由器、交換機、設備和終端在內的每個網絡元素都打造成為一個防御點,在網絡安全性方面帶 來了革命性的改變。思科集成安全的核心組成部分包括安全連接、集成的威脅控制和信任與身份管理,使路由器成為保護網絡安全的關鍵設備。

        安全連接:此功能整合了多種流量類型,能夠提供安全、可擴展的網絡連接。相關示例包括 IPsec VPN、動態多點 VPN (DMVPN)、群組加密傳輸 VPN 增強型 Easy VPN。

        集成威脅控制:此功能使用多種網絡服務防范并應對網絡攻擊和威脅。相關示例包括 Cisco IOS 防火墻、NetFlow 靈活數據包匹配 (FPM)。

        信任和身份管理:此功能支持網絡采用身份驗證、授權和記賬 (AAA) 以及公鑰基礎設施 (PKI) 等技術智能地保護終端。

        思科協作安全系統將安全性打造成一個包含終端、網絡和策略的網絡級系統。例如,NetFlow 收集器可幫助快速識別DDoS 攻擊,而基于來源的遠程觸發黑洞 (RTBH) 過濾功能可針對所有需要布防的攻擊點設置實時防御 多種服務與設備相互協作,充分利用主動管理功能來抵御攻擊。

        思科自適應威脅防御可動態應對多個層中的威脅,幫助對網絡流量、終端、用戶和應用進行更嚴格的控制,從而進一 步最大限度地降低了安全風險。通過將服務整合到更少的設備上,還在簡化架構設計的同時降低了運維成本。這種創新的方法將高性能解決方案中的安全多層智能、應用保護、全網控制、威脅控制全部集于一身。

        思科網絡基礎保護是思科 SDN 不可或缺、得到廣泛應用的組成部分,可保護網絡基礎設施免受攻擊和漏洞危害,尤其是在網絡級別。相關示例包括基于硬件的 CoPP 和加速的 NBAR、RTBH 過濾以及單播逆向路徑轉發 (URPF)。


        思科 ASR 1000 系列路由器的安全功能和優勢

        為了在思科 ASR 1000 系列路由器上部署網絡安全功能,思科推出以下 Cisco IOS 軟件功能集:

        高級 IP 服務

        高級企業服務

        如需了解有關如何選擇適當功能集的詳細信息,請訪問思科ASR 1000 路由器產品手冊及Cisco IOS XE 功能產品公告。

        要使用思科 ASR 1000 系列路由器上的眾多安全功能,需具備功能許可證。表 1 列出各種功能以及用于提供授權的相應功能許可證。

        安全連接

        典型 IP 網絡中經常運行有不計其數的合法應用和可疑應用,與對性能較為敏感的語音、視頻和實時數據應用爭奪資源。例如,語音流量對 延遲非常敏感,語音數據包通常比較小,如果它們排在較大的非關鍵型數據包之后,聽到聲音

        卡頓,您馬上便能夠感覺到性能的降低。視頻流量會占用較高的帶寬,并且對抖動非常敏感;在延遲期間緩沖視頻數據很多情況下是不可行的,結果為了迅速恢復穩定的視頻流,通常會丟失部分數據包;如果這種丟包現象過于頻繁,會導致視頻流不連貫,影響觀看者的情緒。

        這些企業語音和視頻應用需要成熟的 QoS IP 組播機制,以便保持語音和視頻質量。站點間和遠程接入 VPN 正常運行的前提是,通過加密的、無處不在且價格低廉的公共互聯網接入來傳輸這種混合流量,以實現主要連接和備份連接。提升基于 VPN 的語音和視頻應用質量這一需求,對 IPsec QoS IP 組播集成形式帶來了更多的要求。過去,部分此類挑戰限制了網絡的可擴展性,或者增加了網絡設計的復雜性。最后,隨著 VPN 應用的日益普及和實時應用的激

        增,IP 語音 (VoIP) IPTV 成為主流,思科網真? 會議的應用越來越廣泛,視頻電話也將很快普及,而聚合站點上的性能、規模及功能集成要求也不斷提升。


        思科 ASR 1000 系列路由器將高度可擴展的多千兆位 VPN 與語音、視頻和實時數據相集成:

        IPsec AES、DES 3DES 加密直接內置于平臺中,無需部署服務刀片

        20 Gbps ESP (ESP20) 最多可支持 4000 個隧道,最高可實現 7 Gbps IPsec 性能。

        其架構與未來版本兼容,可在其余機箱和組件保持不變的情況下通過 ESP 升級獲得更高的加密性能 。

        支持的站點間和遠程接入 VPN 包括 IPsec、群組加密傳輸 VPN、DMVPN、Easy VPN VTI(靜態和動態)。

        無需服務刀片的硬件 QoS 和高級加密 IP 組播處理功能支持高度可擴展的設計,實現 了語音和視頻與 IPsec 的集成。

        PKI 功能支持對站點間和遠程接入使用預共享密鑰和證書。

        硬件 QoS

        思科 ASR 1000 系列路由器將 QoS 處理流程嵌入流處理器:

        流量處理器:流處理器中有整個一枚芯片專門用于 QoS,可針對數千個分支輕松實施流量整形和策略管制功

        能,并且絲毫不會影響路由處理器自身的運行。與此相反,傳統的單 CPU 中端路由器在此類情形下會給路由處理器帶來巨大的壓力,從而可能會危及網絡的可用性。

        加密前的 LLQ 是幫助確保 VPN 語音質量的一項關鍵要求。流處理器提供硬件 LLQ 及加密后接口級 QoS,這是面向此種規模平臺的一項行業領先的功能。

        硬件 IP 組播處理

        過去,加密 IP 組播數據包(例如 IPTV 或視頻會議流)僅會在規模上受到限制。例如,企業活動通常在指定的時間開始,當大量觀眾試圖幾乎同時在線加入活動時,會導致流量激增。大量的數據包被復制并加入加密隊列,會使加密處理器的隊列緩沖區不堪重負,并在輸入接口上產生意外的丟包。用于解決此問題的傳統方法涉及復雜的設計,其中包含多個對等點和隧道以分離加密的 IP 組播流量。

        思科 ASR 1000 系列路由器對加密的 IP 組播流量執行復雜的處理。三項主要設置可最大程度減少丟包、簡化網絡設計,并加密 IP 組播流量:

        多核加密引擎:ESP 中的加密處理器采用多核芯片(10 Gbps ESP 采用 8 核芯片)。數據包并行分發到多個核心以進行加密,實質地提高了性能,并且使加密引擎可在任何給定時間處理更多數據包。

        加密引擎與流處理器處理引擎之間的全循環背壓機制:傳統上,準瞬時 IP 組播突發流量的結果是,轉發和數據包處理器通常將難以管理的數據包突發直接引導至對方,從而進一步加重其緩沖區的負擔。在思科 ASR 1000 系列路由器中,多種機制允許加密引擎和處理引擎(流處理器中的數據包處理引擎)相互施加背壓,并通過保持數據包來響應背壓。此過程可平穩處理突發事件,最大程度地減少丟包。此過程中的關鍵要素是,流處理器中除包括處理引擎外,還包括專用的流量處理器,該處理器具有緩沖、排隊和調度 (BQS) 系統。進入系統進行加密的數據包將進入 BQS 系統,然后等待加密引擎做好加密準備;也就是說,加密引擎可以對處理引擎施加背壓。當加密引擎準備就緒并加密數據包時,它會嘗試將數據包重新插入流中。此時處理引擎可以施加背壓,要求加密引擎放慢速度(因為它沒有空間來接收這些數據包)。實質上,此流程在加密引擎和流處理器之間創建了一個完整的背壓機制循環。

        大型加密引擎緩沖區:加密引擎內置 2 MB 的緩沖區。


        Easy VPN 和增強型 Easy VPN

        為了滿足簡單、大規模的遠程接入需求,思科提供了 Easy VPN 解決方案,該解決方案使用 策略推送” 技術來簡化配置,同時保留豐富的功能和策略控制。在總部定義的 Easy VPN Server 將安全策略推送到遠程 VPN 設備,從而幫助確保在建立連接前,這些連接具有最新的策略

        群組加密傳輸 VPN 可為廣泛的應用提供優勢:

        提供數據安全和傳輸身份驗證,通過加密所有廣域網流量來幫助滿足安全合規性和內部法規要求

        支持大型網狀網,并通過組加密密鑰消除復雜的對等密鑰管理

        對于多協議標簽交換 (MPLS) 網絡,維護網絡智能(例如全網狀連接、自然路由路徑和 QoS

        通過集中式密鑰服務器輕松進行成員資格控制

        通過實現站點間的全時直接通信(無需通過中央集線器進行傳輸),來幫助確保低延遲和抖動

        通過使用核心網絡來復制組播流量以減少 CPE 和運營商邊緣加密設備上的流量負載,避免在每個對等站點復制數據包

        當前,思科 ASR 1000 系列路由器支持組成員和組成員中的 VRF-lite 功能。

        虛擬隧道接口

        VPN 越來越多地被公認為安全廣域網連接的主流解決方案。它們替代或擴展了采用租用線路、幀中繼或 ATM 的現有專用網絡,從而以更高的成本效益和靈活性連接遠程和分支機構以及中央站點。此新態勢要求 VPN 設備提供更高的性能,同時支持局域網和廣域網接口,并具有高網絡可用性。

        可以使用新的思科 IPsec VTI 工具在站點間設備之間配置基于 IPsec VPN。它提供可路由的接口,用于終止 IPsec 隧道,從而簡化配置。思科 IPsec VTI 隧道可提供跨共享廣域網的指定路徑,并使用新的數據包報頭封裝流量,以幫助確保傳送到特定目的地。該網絡是專用網絡,因為流量只能從終端進入隧道。此外,IPsec 可提供真正的機密性(就像加密一樣)并且可以傳輸加密流量。

        借助思科 IPsec VTI,企業可以充分利用經濟高效的 VPN,并繼續向數據網絡中添加語音和視頻,而不會影響質量和可靠性。該技術可為站點間 VPN 提供高安全性連接,從而實現融合的語音、視頻和 IP 網絡數據。

        VRF 感知 IPSec

        VRF 感知 IPSec 使運營商可將其 MPLS VPN 網絡服務擴展到屬于不同企業的遠程分支機構和遠程接入用戶。這些遠程位置通過 IPSec VPN 安全地連接到 MPLS VPN 網絡的運營商邊緣。運營商對流量進行邊緣解密,然后使用 MPLS VPN 網絡將其轉發到相應的企業 VPN 站點。從 Cisco IOS XE 軟件 2.6 版開始,思科 ASR 1000 系列路由器提供兩種VRF 感知 IPSec 解決方案:帶靜態加密映射的 IPsec 隧道,以及 GRE+IPSec 隧道。


        為總部提供高可用性和負載均衡

        思科 ASR 1000 系列路由器支持 IPsec VPN 的多種冗余功能:

        內置 IPsec 狀態故障切換:IPsec 狀態故障切換使您可以在發生計劃內或計劃外中斷后,使用備份 IPsec 進程繼續處理和轉發 IPsec 數據包。此功能在 6RU 思科 ASR 1006 路由器上提供:IPsec 狀態故障切換將在同一機箱中的兩個 ESP 之間進行。一個 ESP 處于活動狀態,另一個 ESP 處于熱備用狀態,當備用 ESP 接管時,將保留 IPsec 會話信息。并且,如果活動路由器由于任何原因斷開連接,不會斷開與其對等體的安全連接。此過程對于最終用戶是透明的,不需要調整或重新配置任何遠程對等體。IPsec 狀態故障切換可在思科 ASR 1000 系列路由器中的兩個 ESP 之間與 SSO 結合使用。它可以保護 IPsec、GRE 封裝的 IPsec Cisco IOS 軟件Easy VPN 流量。

        集成威脅控制

        流處理器架構根本性地提高了中端路由器的安全性,使思科 ASR 1000 系列路由器能夠提供經過硬件加速的多千兆位集成威脅控制服務,以及世界一流的 IP 路由和安全連接,而無需使用更多服務刀片。

        最初可用的集成威脅控制服務包括防火墻、NBAR、NetFlow 和基于來源的 RTBH,這些都是網絡和安全專業人員用來減輕網絡邊緣風險的行之有效的方法。

        所有這些功能都在流處理器本身上執行 - 所有會話數據包(即第 4 層深度數據包檢查、NBAR FPM)都在流處理器上執行。即使是初始防火墻會話設置數據包,也都在硬件中以通常稱為 快速路徑” 的方式進行處理(防火墻沒有 “慢速路徑”)。此外,流處理器直接在轉發平面之外執行高速防火墻和 NAT 系統日志記錄,從而最大程度地減少路由處理器上的性能下降或負載。

        Cisco IOS 基于區域的防火墻

        思科 ASR 1000 系列路由器上的 Cisco IOS 基于區域的防火墻執行多千兆位狀態防火墻檢查,從而推進理想的單箱安全和路由解決方案的使用,以保護通向網絡的廣域網入口點。

        防火墻服務已嵌入思科 ASR 1000 系列路由器內部的思科流處理器中,無需額外的防火墻刀片或模塊。同時,系統能夠以多千兆位速度執行其他功能,例如 QoS、IPv4、IPv6 NetFlow 等。

        支持的主要 Cisco IOS 防火墻功能如下:

        基于區域的策略:基于區域的策略允許思科 ASR 1000 系列路由器充當不屬于同一區域的任何接口之間的屏障。除非在每個區域對之間的每個方向上指定了明確的區域對策略,否則系統不會轉發數據包。該策略是使用思科策略語言(即模塊化 QoS CLI [MQC]編寫的,并建立了適用于每次區域配對的狀態檢查和會話參數的類型。例如,穿過 Internet-DMZ 邊界將需要采用允許 HTTP 和域名系統 (DNS) 的策略。

        多千兆位性能:在啟用路由、QoS 和其他常見 Cisco IOS 軟件功能的情況下,該架構可在 ASR 1002-F 上提供最高 2.5 Gbps 的防火墻和 NAT 性能,在 ESP5 上提供高達 5 Gbps 的防火墻和 NAT 性能,在 ESP10 上提供高達 10 Gbps 的防火墻和 NAT 性能,在 ESP20 上提供高達 20 Gbp 的防火墻和 NAT 性能。

        內置高可用性:思科 ASR 1006 通過在機箱內支持冗余路由處理器和 ESP 來支持硬件冗余。當活動路由處理器或 ESP 發生故障時,熱備用組件將接管處理,而幾乎不會發生丟包。在此過程中,系統將保留所有防火墻和NAT 會話。思科 ASR 1002 ASR 1004 通過在單個路由處理器中運行兩個 Cisco IOS 軟件映像(其中一個映像作為活動映像運行,另一個映像作為備用映像運行)來提供軟件冗余功能。當活動映像中發生故障時,熱備用映像將接管處理,并且所有防火墻和 NAT 會話均保持已具有的狀態。

        VRF 感知型基于區域的防火墻:它使思科 1000 作為 MPLS VPN 網絡中的運營商邊緣路由器,可以為大量VPN 客戶提供防火墻服務。每個客戶都可具有自己的防火墻策略。該解決方案為 VPN 客戶提供三種主要用例:互聯網切換、共享服務接入以及站點間接入。

        面向語音、視頻和其他數據應用的高級協議檢測功能。

        每用戶、每接口或每子接口安全策略。


        每用戶防火墻:此解決方案在思科 ASR 1000 系列上部署為 L2TP 網絡服務器 (LNS)。此功能將基于 Cisco IOS 基于區域的策略防火墻與思科 ASR 1000 系列的豐富寬帶功能集成在一起,以使互聯網運營商能夠為其寬帶用戶提供防火墻服務。

        緊密集成的身份服務可提供每用戶身份驗證和授權。

        基于角色的 CLI 訪問:此功能使網絡管理員可以根據需接入路由器的用戶的角色來定義不同視圖。每個視圖都包括特定角色用戶(例如網絡運營商和安全運營商)可訪問的所有 Cisco IOS 軟件 CLI 命令的子集。

        NetFlow 事件日志記錄

        思科 ASR 1000 系列路由器將生成多千兆位防火墻和 NAT 系統日志。ESP 的流處理器架構支持使用 NetFlow v9 二進制日志記錄模板直接從轉發平面導出數萬個防火墻和 NAT 事件,而不會降低路由處理器的性能。ESP 每秒最多可導出4 萬個事件。

        NetFlow

        NetFlow 是行業中用于檢測網絡異常的主要技術。它提供遙測數據以分析 IP 流量。例如,誰在與誰通信、通過什么協議和端口進行通信、通信持續多長時間、以什么速度進行通信。

        DDoS 攻擊行為會在網絡使用中產生突發尖峰。通過與從先前收集的配置文件和基準中收集的典型流量模式相比,可以將這些尖峰迅速識別為異常網絡 事件”。通過分析詳細的 NetFlow 流數據,您還可以對攻擊(即攻擊的源和目標)、攻擊持續時間以及攻擊中使用的數據包大小進行分類。

        思科 ASR 1000 系列路由器上的思科流處理器直接從處理器導出大量流緩存數據對于 ESP10 為一百萬個流記錄卡), 從而進一步降低路由平臺中控制處理器的 CPU 使用率。采樣的 NetFlow 會優化對此緩存的使用。

        基于網絡的應用識別 (NBAR)

        NBAR Cisco IOS 軟件中的一種分類引擎,使用深度和狀態數據包檢查來識別多種應用,包括基于網絡的協議以及其他難以分類的協議,這些協議利用了動態 TCP/用戶數據報協議 (UDP) 端口分配。在安全環境中使用時,NBAR 可以根據負載簽名檢測蠕蟲。如果某個應用被 NBAR 識別并分類,那么網絡可以為該應用調用服務。該技術還可與 QoS 功能一起使用,以確保帶寬、帶寬限制、流量整形和數據包著色,從而確保有效地利用網絡帶寬。

        思科 ASR 1000 系列路由器可以在流處理器上加速 NBAR,從而實現業界領先的多千兆級性能。

        靈活的數據包匹配

        FPM 檢查數據包是否具有攻擊特征,并采取適當的措施(記錄、丟棄或互聯網控制消息協議 [ICMP] 不可訪問)。它提供靈活的第 2 層到第 7 層無狀態分類機制。您可以根據任何協議以及流量協議棧的任何字段來指定分類條件。根據分類結果,您可以采取相應措施,例如丟棄或記錄分類流量。

        信任和身份管理

        AAA

        Cisco IOS 軟件 AAA 網絡安全服務提供了用于在路由器或訪問服務器上設置訪問控制的框架。AAA 允許管理員使用已應用到特定服務或接口的方法列表,來對每條線路(每個用戶)或每個服務(例如 IP、IPX VPDN)動態配置所需的身份驗證和授權類型。

        網絡基礎保護

        在企業總部,網絡基礎設施設備的持續可用性愈加重要。如果網絡路由器或交換機受到攻擊,攻擊者會獲得對整個網絡的完全訪問權限。盡管有各種巧妙的防御措施可以用來防御攻擊,但仍有必要防范未知的威脅。

        以下技術強調了穩健網絡基礎保護的重要性,其中包括 Cisco IOS 軟件設備的自我防御(如果發生 DDoS 攻擊)和安全管理訪問,以最大限度減少管理和控制接口上的欺騙攻擊。


        控制平面保護

        即使是最強大的軟件實施方案和硬件架構,也容易受到 DDoS 攻擊。DDoS 攻擊是一種惡意行為,企圖通過向網絡基礎設施傳輸垃圾流量(偽裝成發往控制平面處理器的特定類型的控制數據包)來使其癱瘓。

        在思科 ASR 1000 系列路由器上,第一道防線是通過將控制和數據轉發功能分隔到單獨處理器(即,路由處理器和

        ESP 上的單獨的專用 CPU)來實現的。ESP 處理數據流;路由處理器與 DDoS 攻擊相隔離。

        作為用于阻止針對網絡核心的此類威脅和類似威脅的第二道防線,Cisco IOS 軟件在路由器上包括了可編程策略管制功能,可限制發往控制平面的流量的速率或 策略”。您可以配置此功能(稱為控制平面保護 [CoPP]),以識別或限制某些流量類型(完全限制或在超過指定閾值水平時加以限制)(圖 7)。

        思科 ASR 1000 系列路由器上的 CoPP 將在流處理器上的硬件中執行,因此實際上消除了因執行 CoPP 和速率限制功能而造成的任何額外損失或系統性能下降。此外,平臺中的所有轉出流量都首先通過 ESP,從而更能夠防止非正常數據進入路由處理器。

        再其次,通過在 Linux 內核之上將 Cisco IOS 軟件作為用戶進程運行,可提供另一層系統保護功能。此內核保護功能使系統即使在路由過程受到諸如 DoS 攻擊等壓力的情況下仍可保持運行并可管理。


        成 人 黄 片免费观看,黄 色 视 频 在 线 免费观看,成人黄网站片免费视频