产品概述
Cisco SDM是为基于Cisco IOS? Software的路由器开发的一种直观Web设备治理工具,它能够通过智能向导简化路由器和安全配置,使客户和思科合作伙伴不需要了解命令行界面(CLI)就能快速、轻易地部署、配置和监控思科系统?公司的路由器。许多思科路由器和Cisco IOS Software版本都支持Cisco SDM。Cisco SDM支持的型号如表3所示。
易用性和应用智能
利用Cisco SDM,用户不但能轻松地在思科路由器上配置路由、交换、安全和服务质量(QoS)服务,还能通过性能监控进行主动治理(图1)。现在,Cisco SDM用户可以远程配置和监控思科路由器,而不再需要使用Cisco IOS 软件的命令行界面。Cisco SDM GUI能够帮助非专家型Cisco IOS软件用户完成日常操作,提供易于使用的智能向导,自动执行路由器安全治理,并帮助用户完成整个在线帮助和培训过程。
图1 Cisco SDM首页
利用Cisco SDM智能向导,用户可以系统地配置LAN、无线LAN和WAN接口、防火墙、入侵防御系统(ipS)和IP Securtiy(IPSec)VPN,逐步完成路由器和安全配置。Cisco SDM智能向导能够以智能方式检测到错误配置,并提出修复建议,例如,假如WAN接口由DHCP定址,则答应动态主机配置协议(DHCP)流量通过防火墙。除帮助用户在Cisco SDM中输入正确数据的具体步骤外,嵌入在Cisco SDM中的在线帮助还提供了相应的背景信息。用户可能碰到的网络和安全术语包含在在线词汇表中。
对于熟悉Cisco IOS Software及其安全特性的网络专家,Cisco SDM提供了能够快速配置和精确调整路由器安全特性的先进配置工具,以便网络专家能够先审核Cisco SDM产生的命令,再提供路由器配置更改方案。
利用Cisco SDM,治理员可以利用SSL和SSHv2协议连接从远程位置配置和监控路由器(图2)。利用这种技术,能够通过互联网在用户的浏览器与路由器之间建立安全连接。在分支办公室部署时,由于可以从公司总部配置和监控Cisco SDM型路由器,因而能减少分支办公室对高级网络治理员的需要。
图2 利用SSL与Cisco SDM型路由器相连,建立安全远程连接
集成式安全配置
部署新型路由器时,可以利用国际计算机安全协会(ICSA)和思科技术支持中心(TAC)推荐的最佳实践,使用Cisco SDM快速配置Cisco IOS Firewall。Cisco SDM用户可以配置最强的VPN默认值,并自动执行安全审计(图3)。另外,Cisco SDM用户还可以为防火墙执行一步路由器锁定,并通过一步VPN快速部署安全站点到站点连接。利用思科推荐的与Cisco SDM捆绑在一起的IPS特性表,可以快速部署蠕虫、病毒和协议攻击抵御系统。
图3 路由器安全审计
调用已经配置好的路由器时,利用Cisco SDM,用户只需执行一个安全审计步骤就能评估路由器配置在安全方面的优势和弱点。治理员可以精确调整原有路由器安全配置,更好地满足企业要求。另外,Cisco SDM还可以用于日常操作,例如监控、错误治理和故障排除等。
路由器配置
除安全配置外,Cisco SDM还能帮助用户快速、轻松地执行路由器服务配置,例如LAN、WLAN和WAN接口配置,动态路由,DHCP服务器,QoS策略等。
利用LAN配置向导,用户不但能为以太网接口分配IP地址和子网掩码,还能启动或禁用DHCP服务器。利用WAN配置向导,用户可以为WAN和互联网接入配置xDSL、T1/E1、以太网和ISDN接口。另外,对于串行连接,用户还可以实施帧中继、PPP和高级数据链路控制(HDLC)封装。不仅如此,Cisco SDM还答应配置静态路由和通用动态路由协议,例如OSPF、RIP第2版本和EIGRP。
现在,利用Cisco SDM,QoS策略可以方便地应用到任何WAN或VPN通道接口。QoS策略向导能够自动执行思科QoS策略体系结构原则,以便有效区分实时应用(语音或视频)、要害业务应用(结构化查询语言[SQL]、Oracle、Citrix、路由协议等)流量及其它网络流量(Web、电子邮件等)。借助Cisco SDM中基于网络的应用识别(NBAR)监控,用户能够以可视方式实时检查应用层流量,并不断分析QoS策略对各种应用流量的影响。
监控和排障
在显示器模式下,Cisco SDM能够以图形方式快速显示重要路由器资源的状态和性能数据,例如接口状态(正常或不正常)、CPU和内存使用等。对于无线型号,Cisco SDM全面支持实时802.11a/b/g接口统计数据。Cisco SDM可利用路由器上的集成式路由和安全特性,深入诊断WAN和VPN连接,并及时排除故障。例如,排除VPN连接故障时,Cisco SDM将检查从WAN接口层到IPSec Crypto Map层的路由器配置和连接。测试每个层次的配置和远程对等连接时,Cisco SDM将提供成功或失败状态,可能的失败原因,以及思科TAC提出的修复建议。
图4 VPN排障和恢复
利用Cisco SDM监控模式,用户不但可以计算被Cisco IOS Firewall拒绝的网络访问企图次数,还可以访问防火墙记录。不仅如此,用户还可以监控具体的VPN状态信息,例如IPSec通道加密或解密的包数,以及Easy VPN Client连接细节。
表1 Cisco SDMv2.1.1的特性
特点
优点
新硬件支持
CiscO SB 100系列、Cisco 850系列、Cisco 870系列、Cisco 1801、Cisco 1802、Cisco 1803、Cisco 1811、Cisco 1812
HWIC-AP-G-X,HWIC-AP-AG-X
提供识别、配置和监视新硬件的能力
已经实现了六种语言的本地化
Cisco SDM用户界面和在线帮助已经翻译为日语、简体中文、法语、德语、西班牙语和意大利语(于05年6月上市)
MS Windows OS支持这些语言(现已上市)
能够为使用本国语言的用户简化路由器治理
集成式无线治理
EXPRess Setup(快速设置)向导能够简化无线接口的首次设置
提供基于Web的高级配置和监控
缩短启用无线接口所需要的时间,降低对人员的技能要求
根据各站点的独特需求灵活地定制无线配置和安全
IPS配置改进
根据路由器型号的需要快速部署IPS特征