CISCO VSS与HSRP、VRRP、RSTP对比分析

 

VSS与HSRP对比分析

测试案例

Cisco公司借助于虚拟技术和新一代的路由处理引擎，不仅将两个其旗舰级路由交换设备Catalyst 6500虚拟为一个网络实体，成倍地提高了数据交换路由能力，而且极大地提高了网络的可靠性。

为了验证Cisco公司新一代的虚拟交换系统(VSS)，《Network World》进行了其有史以来最大规模的性能测试，测试环境采用了高达130个万兆以太网络接口。

测试结果令人印象深刻，Cisco公司的虚拟交换系统(VSS)不仅将网络设备故障的影响时间减少到以前的1/20，而且不需要采用原来网络设计中常用的二层和三层冗余协议。另外，VSS的吞吐量超过770Mpps，测试中路由转发单播和组播流的数目高达56亿个。

任何时刻，任何链路

长久以来，网络设计者为了使基础设施在各种故障情况下尽可能地保持运行，通常采用在网络各层次部署多条冗余/负载均衡链路和设备的设计方法。同时为了使这些冗余的设备和链路在出现故障时能够及时地发挥作用，网络设计者不得不同时使用为数众多的、令人眼花缭乱的协议来应付故障情况，RSTP、HSRP和VRRP等协议都是常用的保护性协议。

这种方式有众多的不足之处。由于目前绝大多数冗余保护性协议采用主/备工作方式，结果是网络中虽然有多条链路，但在平时只有一条链路负责数据的传输，其他的链路只有在主链路故障时才有可能负责数据的传输。网络设备和链路的主/备工作方式使网络的有效利用率只能达到50％，造成较大的浪费。

在一般情况下，路由设备的端口只需要一个IP地址，但VRRP和HSRP协议都要求在一个网段上预留三个IP地址，增加了管理负担；同时RSTP的故障收敛时间在秒级波动，结果往往是应用程序的性能小于原来的预期。另一个不足之处是网络中被管理网元数目的成倍增加，不论采用何种方式管理网络设备，同样的配置和策略的下发都需要重复至少两次。

虚拟交换系统

VSS技术的核心是Cisco公司最新发布的旗舰级路由交换设备Catalyst 6500的VS-Sup720-10G路由交换引擎，其虚拟交换连接（VSL）的建立和管理，使虚拟交换系统对网络中其他的节点呈现为单一设备（唯一的MAC地址，唯一的IPv4地址），所有的端口都在一个网元中被管理。

在基于VSS技术的网络设计中，为了在物理连接上提供冗余，任何一个接入层设备仍然需要连接到同一个VSS系统的两个不同设备上，但是由于VSS技术支持跨机箱的链路捆绑（MEC），因此在接入层仍然为一个物理设备。 MEC技术与用户采用何种链路捆绑技术无关，MEC支持业界标准的802.1ad链路捆绑协议和Cisco公司扩展的PAgP协议。不论接入层设备和VSS设备之间采用何种链路捆绑协议，都不需要运行任何的生成树协议，在正常工作时，MEC中的任何链路都有数据通过。

服务器与VSS节点的连接也同样可以享受到MEC技术的好处，服务器网卡捆绑技术（NIC Teaming）使服务器端不需要安装任何软件，通过简单的配置就可以和VSS节点跨机箱的链路捆绑连接。

在目前阶段，任何两个Cisco公司的Catalyst 6500设备只要具备支持VSL协议的能力都可以组成虚拟交换系统（VSS），这时，任何与该VSS系统相连接的设备都可以享受虚拟交换的好处。根据网络的需求，VSS可以应用在网络的核心层、汇聚层和接入层。

Catalyst 6500之间的每个VSL连接支持最多8个物理链路，构成VSL的物理链路可以是VS-Sup720-10G上的任意10GE接口或是Cisco高密度10GE接口卡上的任意接口。 VSS要求设备中的用户接口卡是6700系列。例如WS-X6724或WS-X6748千兆系列、WS-X6704或WS-X6708系列万兆接口卡的任意组合。 在本次测试中没有验证虚拟交换系统间VSL链路上的流量情况，但 Cisco表示，在正常情况下， 虚拟交换系统间VSL链路上的流量大约为万兆接口的5％。

更大规模的交换能力

为了考察虚拟交换系统的性能，本次测试集中验证了交换结构的吞吐量和延时、故障倒换时间和单播/组播混合流量通过虚拟交换系统的能力。

结果显示，在64字节时，Cisco公司的VSS每秒钟转发能力超过7.7亿（770Mpps）个数据包。同时在不构成虚拟交换系统时，每个设备每秒钟转发达3.85亿个数据包。虚拟交换系统的能力正好是单一设备的两倍，并没有因为交换结构跨越物理设备而受到任何影响。

在10％负载的情况下，我们测试了3种数据包长的转发延时，Spirent公司的TestCenter测试系统得到的平均时延在12微秒到17微秒之间。VSS的平均时延和一般万兆交换机一样，远远小于应用可以感知的程度。

快速的故障倒换

故障倒换测试结果显示，VSS在二层和三层网络故障时是在目前最快的。

传统的环境下，二层设备间采用RSTP协议，HSRP提供三层网关的冗余保护，Spirent公司的TestCenter测试系统仿真16000台计算机互相访问。在测试过程中，通过切断汇聚层设备电源的方式触发各种保护机制，在6.883秒后流量完全恢复正常。

采用同样的测试方法，VSS的测试结果表明，核心层和汇聚层的故障倒换时间分别为341微秒和322微秒，比传统的保护方式快了20倍。

强大的核心设备能力

为了检验Cisco公司虚拟交换系统作为网络核心设备的能力，我们测试流量的构造相对复杂，测试流量对应17.6万个单播IP路由，1万个组播组，超过56亿个数据流。

在测试过程中，我们还在虚拟交换系统上加载了包括1万条规则的安全访问控制。同时在每个端口配置了DSCP服务质量控制功能，并且采用Netflow功能对所有的数据流进行跟踪。在所有的测试中，VSS的吞吐量都是传统方式的两倍。在时延方面，采用虚拟交换技术与不采用虚拟交换技术时记录到的平均延时基本一致，在26微秒和90微秒之间，这个范围远小于应用能够感知的范围。

采用虚拟交换技术时，在256字节数据包测试的最大延时是不采用虚拟交换技术的4倍。而所有的最大延时都远小于1毫秒。

本方案需要添加的设备：

新设备6509清单	描述	数量
WS-C6509-E	Catalyst 6500 Enhanced 9-slot chassis,15RU,no PS,no Fan Tray	1
SV33AIK9-12233SXH	Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH	1
VS-S720-10G-3C	Cat 6500 Supervisor 720 with 2 ports 10GbE and MSFC3 PFC3C	1
CF-ADAPTER-SP	SP adapter for SUP720 and SUP720-10G	1
VS-S720-10G-3C	Cat 6500 Supervisor 720 with 2 ports 10GbE and MSFC3 PFC3C	1
CF-ADAPTER-SP	SP adapter for SUP720 and SUP720-10G	1
WS-X6748-GE-TX	Cat6500 48-port 10/100/1000 GE Mod: fabric enabled, RJ-45	1
WS-F6700-DFC3C	Catalyst 6500 Dist Fwd Card for WS-X67xx modules	1
WS-X6748-SFP	Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs)	1
WS-F6700-DFC3C	Catalyst 6500 Dist Fwd Card for WS-X67xx modules	1
GLC-LH-SM	GE SFP, LC connector LX/LH transceiver	14
GLC-SX-MM	GE SFP, LC connector SX transceiver	9
WS-X6716-10G-3C	Catalyst 6500 16 port 10 Gigabit Ethernet w/ DFC3C (req X2)	1
X2-10GB-SR	10GBASE-SR X2 Module	2
WS-C6509-E-FAN	Catalyst 6509-E Chassis Fan Tray	1
WS-CAC-3000W	Catalyst 6500 3000W AC power supply	2
CAB-AC16A-CH	16A AC Power Cord For China	2
VS-F6K-MSFC3	Catalyst 6500 Multilayer Switch Feature Card (MSFC) III	2
VS-F6K-PFC3C	Catalyst 6500 Sup 720-10G Policy Feature Card 3C	2
VS-S720-10G	Catalyst 6500 Supervisor 720 with 2 10GbE ports	2
MEM-C6K-CPTFL1GB	Catalyst 6500 Compact Flash Memory 1GB	2
BF-S720-64MB-RP	Bootflash for SUP720-64MB-R	2
MEM-XCEF720-512M	Cat 6500 512MB DDR, xCEF720 (67xx interface, DFC3A/DFC3B)	1
WS-F6700-DFC3C	Catalyst 6500 Dist Fwd Card for WS-X67xx modules	1
WS-X6716-10GE	Catalyst 6500 16 port 10 Gigabit Ethernet Base Module	1
已有设备需添加组建清单
VS-S720-10G-3C	Cat 6500 Supervisor 720 with 2 ports 10GbE and MSFC3 PFC3C	2
CF-ADAPTER-SP	SP adapter for SUP720 and SUP720-10G	2
WS-X6716-10G-3C	Catalyst 6500 16 port 10 Gigabit Ethernet w/ DFC3C (req X2)	1
X2-10GB-SR	10GBASE-SR X2 Module	2
SV33AIK9-12233SXH	Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH	1

 

网管系统解决方案

网络系统的健康高效运行与维护是分不开的，思科的CiscoWorks2000网管软件为维护人员提供了高效维护、监控工具。Cisco网管软件，是CISCO系统公司所提供的完整的端到端传输管理解决方案能够使IT专业人士获得网络传输的跟踪能力，Cisco网管软件包括对网络应用流量的跟踪等。这种高级别的透视能力为管理企业及网络提供了一种特定的商业基础。

局域网管理解决方案（LMS）是CiscoWorks 2000网络管理系列产品之一。它为园区网提供了配置、管理、监控、故障检测与维修工具，同时还包括了用于管理局域网交换和路由环境的应用软件。

 

 利用Internet的开放式标准及Cisco设备与操作系统的内在功能，局域网管理解决方案使网络管理员能够有效地管理整个局域网或园区网。Web浏览器为关键应用提供了便于使用的接口，如拓扑映象、配置服务以及有关园区交换网的主要系统、设备、故障和性能等信息情况。由于上述应用是具有Web和浏览器访问功能的，因此管理员可从网络的任何地方自由获取这些网络工具。

 

 局域网管理解决方案提供的灵活的安装能力使其能够安装在常用的网络管理系统（NMS）产品之外，或者与之并列安装。鉴于其Web结构，局域网管理解决方案工具可与任何在网络中运行的不同服务器上的常用NMS相集成。局域网管理解决方案与其他CiscoWorks 2000解决方案一样，不需要预先配置NMS，并可以随时直接添加到您的网络中。

 

 这种多供应商并存与链接能力代表了Cisco一贯追求生态体系的方针：即采用基于浏览器的访问性和集成技术，为您提供一种端到端的Intranet管理形式。

 

 局域网管理解决方案为园区网管理工具奠定了坚实的基础，并对CiscoWorks 2000的其他产品给予补充。例如，路由WAN管理解决方案体现了广域网的需要。服务管理解决方案则为定义和管理服务级协议提供了一种集中管理方法。而虚拟专网/安全性管理解决方案将web应用集成起来，有助于安装和监控虚拟专网及其安全设备。总之，CiscoWorks 2000系列产品为管理Cisco的重要业务网络提供了具有领先技术水平的解决方案。

 

CiscoWorks2000 LAN管理解决方案  

局域网管理解决方案集成了多种用于配置、监控和维护园区网的应用与工具。其设计体现了当今Cisco的网络技术，同时也为管理未来的网络需要提供了一种灵活的框架。

 

 局域网管理解决方案包括面向操作的多种工具，如故障管理、可扩展的拓扑检查、高级配置、第2层/第3层路径分析、语音支持路径追踪、流量监控、终端工作站跟踪工作流应用服务器管理以及设备故障维修等等。

 

 局域网管理解决方案创建在CiscoWorks 2000常用服务器基础上。这种设计将数据收集、监控和分析工具链接起来，方便了在应用间运行工作流--所有工作都能够通过一种台式计算机应用来完成。譬如，某个抱怨反应时间太长的用户能够利用局域网管理解决方案中的第2层路径工具来自动搜集存储在某个数据库中的用户路径信息，并在拓扑映象中找到所使用的设备，从而能够快速地进行诊断。此外，它还能够迅速检查交换机和路由器的配置情况，或者迅速检查远程监视器的数据传输，从而发现异常情况或可能出现的变化。上述操作能够从一个或多个应用中获取信息。

 

 Web级集成技术提供了创建多供应商管理生态体系的能力。局域网管理解决方案利用Internet标准来将最先进的工具结合起来，并通过数据和任务集成标准来发挥这些工具的功能。通过采用业界数据共享标准--公用信息模型（CIM）和XML，局域网管理解决方案提供了析取数据和与常用网络管理平台产品结合使用的工具。与局域网管理解决方案结合，Cisco提供了一系列完整的专用硬件探测器。专用探测器包括增强局域网功能、交换机和异步传输模式（ATM）的解决方案、用于端到端监控7层网络基础设施的千兆位快速以太网远程监控硬件探测器。

 

局域网管理解决方案包括以下应用：

 

园区管理器--园区管理器用于新一代CWSI园区网，是为管理Cisco交换网而设计的基于Web的新型应用工具套件。主要工具包括第2层设备和连接探测、工作流应用服务器探测和管理、详细的拓扑检查、虚拟局域网/LANE和异步传输模式配置、终端站追踪、第2层/第3层路径分析工具、IP电话用户与路径信息等。

设备故障管理器--为Cisco设备提供实时故障分析能力。它利用多种数据收集与分析手段生成了"智能Cisco陷阱"。这些陷阱能够在当地显示，或者用e-mail的方式传递给其他常用的事件管理系统。

内容流量监视器--Cisco内容流量结构优化了基于链接等待时间、地域相邻情况和服务器负载可用性的全球服务器负载分配能力。监视与管理内容传输的设备如LocalDirector或 Catalyst 4840G等是了解并维护网络中关键任务应用与服务的内容流量的关键。内容流量监视器为Cisco服务器负载平衡设备提供了实时性能监视应用工具。

NGenius实时监视器--是一种新型的多用户传输管理工具包，能够为监控网络、故障排除和维护网络可用性提供全网络、实时远程监视信息。其图形应用报告和分析设备、链接和端口级远程监视能够从Catalyst交换机、内部网络分析模块和外部交换机探测器收集传输数据。

资源管理器要素--资源管理器要素（RME）具有网络库存和设备更换管理能力、网络配置与软件图象管理能力、网络可用性和系统记录分析能力。它还提供了强大的与Cisco在线连接相集成的功能。

CiscoView--这种最广泛使用的Cisco图形设备管理应用工具现已具备Web能力。通过浏览器，局域网管理器能够实时获取设备状态、运行与配置功能方面的信息。

CiscoWorks 2000管理服务器--CiscoWorks 2000系列解决方案提供了基本的管理构件、服务和安全性，它也是与其他Cisco产品及第三方应用相集成的基础。

返回顶部

 

 

 

主要功能及应用

 

 

表1 局域网管理解决方案

 

主要功能/应用	产品	管理优势
能够智能化自动探测Cisco设备创建的网络拓扑图	园区网管理器	园区网管理器拓扑服务功能可发现Cisco设备，并计算第2层的关系以检查Cisco网络的ATM域、VTP域、LAN边缘图以及第2层视图
拓扑状态指示	园区网管理器	拓扑映象指示了发现的Cisco设备及其SNMP状态，以及CiscoWorks2000其他应用的发射点
配置管理和监视虚拟局域网与ATM服务/网络	园区网管理器	提供了创建、删除和编辑虚拟局域网的工具；提供了显示VS和配置SPVC/SPVP的ATM工具
发现连接到交换机端口的终端站与IP电话，根据用户ID识别用户的位置	园区网管理器	园区网管理器用户追踪功能可将MAC地址与IP地址与交换机端口相关，并与微软的PDC和Novell的NDS树集成，以便为用户ID提供更高效的用户位置与追踪能力
第2层和第3层网络的两个端点（设备、服务器、电话）的追踪连接性	园区网管理器	园区网管理器路径分析工具可利用设备的主机名或IP地址为第2层和第3层设备提供路径分析，并在台式映象显示器或追踪显示器上显示出分析的结果
智能化故障条件的分析能力可在问题中断网络之前发现问题	设备故障管理器	设备故障管理器的自动故障探测功能可识别网络中的常见故障，而无需使用户定义自己的规则集、SNMP陷阱过滤器或设备的轮询间隔
在设备级与虚拟局域网级的故障条件说明	设备故障管理器	具有预先定义100余个Cisco路由器和交换机的特点，支持新设备的功能可方便地通过CCO增添新设备。设备故障管理器简化了第2层和第3层环境的管理
LoadDirector、Catalyst 4840G和Catalyst 6xxx具有监视服务器负载平衡的功能	内容流量监视器	实时监视来自虚拟网络和实际网络负载平衡构件的包流量数据和负载服务器的负载平衡功能
收集来自局域网设备和探测器的RMON/RMON2的数据资料	NGerius 实时监视器	监视局域网传输协议、应用和接口，以便采用适当的过滤器、降低成本与提高设备性能
排除局域网网络与应用包级的故障	NGenius实时监视器	通过提供整个网络的可视性包括应用层、数据链路层及现有的虚拟拓扑结构，来帮助解决网络与应用问题
详细的软、硬件库存报告	资源管理器要素	准确提供Cisco库存基线信息，包括内存、插槽、软件版本以及网络决策所需的引导ROM
用于设备软件和配置更改的自动升级引擎	资源管理器要素	允许软件与配置更新信息按计划传送到选定的设备，从而节省了时间和避免了网络更新过程中出现的错误
整合的故障排除工具设备中心	资源管理器要素	广泛收集的交换机和路由器分析工具，可从单点访问，设备中心能够链接到第三方的应用上
集中管理变化审计记录	资源管理器要素	可彻底改变记录用户与应用在网上活动的监视日志
图形设备管理	CiscoView	显示的浏览器代表Cisco路由器和交换机设备，彩色编码代表运行的状态及可获得的配置与监视工具
应用访问安全性	CiscoWorks2000服务器	CiscoWorks2000台式设备控制用户获得的应用，确保合适级别的用户才能获得改变网络参数的工具，而不符合要求的用户只能使用只读工具
第三方集成工具（集成的实用性）	CiscoWorks2000服务器	简化了Web与第三方及其它Cisco管理工具的集成

 

 

 

本方案需配置的网管软件：

网管软件
CWLMS-3.0-300UPK9	LMS 3.0 300 Device Restricted Upgrade for LMS 2.5.x, 2.6	1

 

边缘安全设备解决方案

网络系统的健康运行需要有效的安全防护设备。网络黑客、病毒的攻击时时威胁着的网络的安全，选择一款有效的安全设备，能够阻断外部的攻击，及时发现潜在危险，保护内部网络资源。部署2台ASA5520-AIP10-K8，能有效的满足当前需求。

ASA5520-AIP10针对关键信息资源和基础设施的攻击将严重影响企业开展业务的能力。为有效消除风险，必须让多种值得信赖的安全技术协同工作。Cisco ASA 5500 系列 IPS 版能够为各机构的关键信息资源提供无与伦比的保护，在一个易于部署的平台中提供最佳防火墙、应用安全性和入侵防御功能。Cisco ASA 5500 系列 IPS 版将世界上部署最广泛的防火墙技术的功能和稳定性，与最流行的IPS技术的高级检查功能有机地结合在一起，防止各机构的服务器和基础设施遭受攻击。

 

挑战

信息资源和基础设施形成了现代企业的核心。部署了网络的企业不但能提高业务效率和业绩，还能获得持续竞争优势。但是，网络也会给企业带来风险。目前，不仅网络攻击数量不断攀升，而且攻击的水平也越来越高，致使各机构核心业务面临的风险越来越大。

 

 

Web 应用和互联网商务站点成为攻击的目标；

互联网蠕虫可能会感染服务器，中断其正常运行，直至整个网络瘫痪；

零日攻击可能会使各机构没有时间发布和安装补丁；

难以控制的内部环境，例如实验室，是蠕虫和病毒传播的理想位置；

不满员工可能会从企业网络内部发动攻击。

 

解决方案

Cisco® ASA 5500 系列 IPS 版可以保护各机构的服务器和基础设施，而且不会影响其将网络作为业务工具的能力。由于 Cisco ASA 5500 系列 IPS 版具有坚实的防火墙和高级应用安全功能，因而能帮助企业实施强大、稳定的策略加强。利用市场领先的入侵防御和防蠕虫功能，Cisco ASA 5500 系列 IPS 版能够有效防止企业资源遭受高级攻击。Cisco ASA 5500 系列 IPS 版与思科的管理和监控应用套件结合在一起，能够为关键资源和基础设施提供无与伦比的保护。

 

该解决方案的功能包括：

 

最值得信赖、已广泛部署的防火墙技术――Cisco ASA 5500 系列基于Cisco PIX® 系列安全设备，既允许合法业务流程通过，又能有效阻挡不受欢迎的访问者。利用其应用控制功能，该解决方案能够控制对等共享、即时消息传送和其它应用，从而减少安全漏洞，防止业务网络遭受各种威胁。

准确及多矢量的威胁防御――Cisco ASA 5500 系列IPS 版在线内入侵防御服务方面融合了创新的技术，提高了检测的精确性。因此，无需承担丢失正常网络流量的风险，便能够停止更多的线程。通过一系列创新但操作简便的技术，Cisco ASA 5500 系列 IPS 版允许企业为不同的环境采用各自的检测和响应技术，以便针对特定的业务提供分析和防御功能。

网络集成和永续性--Cisco ASA 5500 系列 IPS 版基于思科的多年网络经验，能够与其它网络组件紧密集成在一起，提高安全技术的效能。

威胁防御VPN--Cisco ASA 5500 系列 IPS 版基于Cisco VPN 3000 系列集中器的已经过市场验证的VPN功能，能够提供对公司网络和服务的站点到站点安全访问和远程用户访问。该解决方案将安全套接字层（SSL）和IP Security（IPSec）VPN 功能有机地结合在一个最佳解决方案中，为企业提供了极高的安全连接灵活性。利用 Cisco ASA 5500 系列IPS版提供的服务，企业可以实施基于身份的安全性和网络策略，有效预防蠕虫以及很多其它形式的攻击，安全地将网络扩展到员工、合同商和业务合作伙伴。

全面的安全事件生命周期管理--思科管理和监控套件支持 Cisco ASA 5500 系列 IPS 版 的大规模部署和操作。思科不但提供完整的管理、监控和风险预防解决方案，还能通过Cisco Adaptive Security Device Manager（ASDM）为每种安全设备提供功能强大、易于使用、基于浏览器的管理和监控界面。

业务优势

Cisco ASA 5500 系列 IPS 版提供的安全性和连通性使企业能够：

 

提高业务永续性--实施业内部署最广泛的企业级防火墙、IPS、应用安全性和蠕虫防御技术，防止关键业务应用和服务因安全问题而中断。

降低清理费用--防止感染发生，减少受感染后昂贵的清理费用。

加强运作集成--由一个平台提供安全服务，降低安全解决方案的部署以及后续管理和监控成本。

改善责任管理--在一台设备中实施全面的访问控制和威胁防御服务，减少公司因数据受损或公司控制不当而需要承担的责任。

 

架构

Cisco ASA 5500 IPS 版是完整的关键资源保护解决方案的中心。由于它与思科管理、监控和故障防御系统紧密地集成在一起，因而能帮助各机构部署和维护安全解决方案，全面保护关键资源和基础设施（见图1）。

 

图1 解决方案的架构

 

主要组件

Cisco ASA 5500 系列 IPS 版

在企业的多个位置提供保护服务。

 

管理

Cisco Security Manager（CS-Manager）为思科安全技术的大规模部署提供企业级管理基础设施。

 

监控

思科监控、分析和响应系统（CS-MARS）提供实时监控和意外响应功能，使各机构能够充分利用 Cisco ASA 5500 系列 IPS 版的高级检查服务的效能。

 

故障防御

思科意外控制系统（ICS）优质服务能够为最危险的蠕虫和病毒提供近实时更新，从而增强 Cisco ASA 5500 系列 IPS版的功能。利用Cisco ICS，各机构只需几分钟就能借助业内最快速的预防响应系统对新威胁作出响应，而这在以前几乎是不可能的。

 

相互补充的解决方案

Cisco® ASA 5500 系列自适应安全设备是一种模块化平台，能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisco ASA 5500 系列提供的全面服务，可以通过四个定制软件包产品版本满足不同地点的安全需求：防火墙版、VPN版、IPS版和Anti-X版。

 

由于这些软件包能够为适当的位置提供适当的服务，因而能实现卓越的保护。与此同时，它们还支持 Cisco ASA 5500 系列平台的标准化，以降低管理、培训和备件成本。最后，由于每个版本都提供针对不同位置的预打包安全解决方案，因而能够简化设计和部署。

 

图2 相互补充的解决方案

 

解决方案建议

Cisco ASA 5500 系列 IPS 版解决方案可以在解决方案套件中提供，也可以作为Cisco ASA 5500系列的组件提供。Cisco ASA 5500 系列产品的部件号和说明如表1 和表2所示。如果想下订单，请访问思科订购首页。

 

表1 推荐使用的Cisco ASA 5500 系列 IPS版套件和选件

说明	攻击防御性能	部件号
Cisco ASA 5510 设备 IPS 版套件 包括：高级检测和防御安全性服务模块10（AIP-SSM-10模块）、防火墙服务、250路 IPSec VPN，2路 SSL VPN，3个快速以太网接口	150Mbps	ASA5510-AIP10-K9
Cisco ASA 5520 设备 IPS 版套件 Cisco ASA 5520 IPS版包括：AIP-SSM-20模块、防火墙服务、750路 IPSec VPN，2路 SSL VPN，4个千兆以太网接口，1个快速以太网接口	375Mbps	ASA5520-AIP20-K9
Cisco ASA 5540 设备 IPS 版套件 Cisco ASA 5540 IPS版包括：AIP-SSM-20模块、防火墙服务、5000路 IPSec VPN，2路 SSL VPN，4个千兆以太网接口，1个快速以太网接口	450Mbps	ASA5540-AIP20-K9

 

本方案需配置的安全设备：

ASA5520-AIP10-K8

ASA 5520 Appliance w/ AIP-SSM-10, SW, HA, 4GE+1FE, DES

2

本文转自：中盈创信网络科技