思科合作伙伴工程师技术参考手册.doc

思科合作伙伴技术参考手册 思科合作伙伴工程师技术参考手册思科渠道合作伙伴事业部2008年目 录第1篇前言 与 思科公司概貌4第1章前言4第2章思科公司概况5第3章思科iin智能信息网络架构介绍7第2篇思科智能网络方案售前方案典型配置参考12第1章思科统一通讯方案典型配置参考121.1.用户需求分析:121.2.思科建议方案总体配置概述:131.3.总部方案产品配置详述:141.4.分支方案产品配置详述:151.5.总部和分支方案产品清单:16第2章思科自防御网络安全方案典型配置参考182.1.用户需求分析182.2.思科建议方案拓扑图192.3.思科建议方案总体配置概述192.4.安全方案相关产品配置简述212.5.总部和分支方案产品清单22第3章思科统一无线网络方案典型配置参考253.1.用户需求分析253.2.无线建议方案拓扑图263.3.无线建议方案总体配置概述263.4.总部方案产品配置描述273.5.分支机构方案产品配置描述283.6.无线产品清单28第3篇思科行业网络解决方案参考30第1章思科教育行业解决方案概述301.1.大型校园网需求分析301.2.校园网总体方案设计311.3.无线技术应用321.4.校园网流量控制331.5.校园网网络安全设计361.6.中小型学校校园网设计41第2章思科医疗行业解决方案概述432.1.前言432.2.思科医疗级网络需求432.3.高可靠的医疗级网络解决方案452.4.安全的医疗级网络解决方案492.5.快速响应的医疗级网络解决方案612.6.交互的的医疗级网络解决方案642.7.总结 为什么选择思科67第3章思科酒店行业解决方案概述69第4章思科制造行业解决方案概述73第4篇思科行业解决方案销售指南-“敏捷商务业务指南”76第1章什么是“敏捷商务业务指南”?761. 当前商业环境下企业客户面临的挑战:762. 什么是“敏捷商务业务指南”？763. “敏捷商务业务指南”对用户的好处774. “敏捷商务业务指南”对合作伙伴的好处77第2章思科“敏捷商务业务指南”销售策略782.1.运营效率782.2.客户满意832.3.成本控制902.4.业务安全96第3章思科“敏捷商务业务指南”销售策略总结1031. 通过与客户交互了解其面临的4大业务挑战1032. “敏捷商务业务指南”销售过程常见问题和解答103第5篇思科技术支持在线工具介绍105第1章思科售前帮助热线介绍1051.1.pho 思科合作伙伴在线帮助1051.2.思科中文技术社区108第2章思科售前技术支持资源1102.1.思科网络应用解决方案在线资源1102.2.思科产品与服务资料在线资源1172.3.思科产品在线配置工具121第3章售后技术支持资源1293.1.思科产品安装和配置文档在线资源1293.2.网络技术原理及配置文档在线资源1363.3.思科产品基本故障在线帮助资源142第4章思科培训及自我学习在线资源1554.1.思科中国渠道大学1554.2.思科（全球）培训合作伙伴课程表在线查询1564.3.思科合作伙伴在线学习连接1574.4.职业化专业化认证在线培训1634.5.思科技术及产品动手操作培训1684.6.思科技术中心在线培训1714.7.思科产品技术销售在线培训173第5章职业认证相关资源1775.1.思科职业认证和专业领域专家认证相关资源1775.2.思科clp培训合作伙伴介绍179第6篇附录182第1章思科产品速查手册电子版本下载地址182第2章思科渠道常用缩写速查手册182第3章思科渠道策略和相关激励计划介绍1841. fy07 思科合作伙伴自用设备优惠购买计划(not for resale)1842. smb核心合作伙伴计划1853. oip: 思科合作伙伴新机遇激励活动1854. vip 思科合作伙伴价值激励计划1855. sip: 思科合作伙伴整合方案激励活动186第1篇 前言 与 思科公司概貌第1章 前言 经过将近三个月时间地不懈努力，思科渠道工程师团队终于完成了这本手册的撰写工作，每天当我们面对海量的知识信息手足无措的时候，当我们为了寻找点滴有用的技术信息而花费大量时间，当我们面对众多思科合作伙伴工程师渴望知识的目光时，强烈的责任感促使着我们，也驱动着我们总结出一切有用的思科信息，并且将这些内容分享给我们的合作伙伴。 今天，信息产业的相互竞争不但是企业间的利润和实力的竞争，更加是持续发展能力的竞争，究竟谁可以发展得更久远，完全解决于今天企业自身的创新能力，而国内国的许多企业往往会因为关注利润高低而忘记寻找自己的蓝海，忽略了企业创新能力的培养。书中通过全方位的视角，透视了思科的总体技术概貌以及相关解决方案的特点，不但包含了传统的路由交换组网模式，也介绍了统一通信，安全和无线等思科新技术的组网典型案例，充分体现了思科技术创新的领导地位和技术销售模式，也为合作伙伴技术创新做出了铺垫。纵观今天的客户需求，成功的行业解决方案为合作伙伴带来了不少的客观利润，详细地分析客户需求和特点，为行业客户做出典型的配置样板，在本书中也进行了详细的描述。 透过该书，你还可以详细的了解每天所需要使用的工具链接和使用方法，以及专业认证考试的相关信息。总之，通过这本手册，可以很快地把你带入到思科高速发展的快车线上，对你职业生涯的发展和业务的拓展都会有很大的帮助。同时也希望借助这本书向广大的思科合作伙伴工程师多年来的大力支持表示感谢！最后，让我们打开这本手册，一起来寻求新的成功吧！ 思科合作伙伴事业部技术经理 思科系统（中国）网络技术有限公司第2章 思科公司概况 从80年代开始，迅猛发展的it技术在二十多年的时间里彻底的改变了这个世界。人们开始习惯于生活中无处不在的网络：从现金购物到信用卡消费，从面对面的交易到网上订单，从阅读报纸杂志到浏览网页等等，网络以其巨大的推动力颠覆了传统，人们开始以全新的方式工作、学习甚至生活、娱乐。 如同生物界的进化论一样，网络从诞生之初到今天，也不断的随着用户需求的改变在不断的进化。今天的网络的含义已经不再是.com时代的互联网，而是一个安全、高效、灵活、快速的、智能化的商业网络环境。 在网络已经渗透到社会的每个细胞的今天，网络带来的巨大改变也冲击着所有企业的经营模式。例如，一个用户可能仅仅是因为一个网上银行的访问速度慢了几秒而选择其他银行。今时今日，网络对于企业而言，不仅仅是一个发布信息的平台和一种下订单的渠道，今天的网络几乎承担着所有与业务相关的关键环节：交易、信息共享、流程管理、市场监测、战略决策，等等。网络在企业经营中也不再仅仅充当一个辅助的角色，而成为推动企业业务发展、获得竞争优势的核心。至此，一个新的经济环境已经渐渐形成并日趋成熟。 其实，今天几乎所有的企业管理者都知道企业需要适时而变，实行业务转型。但新的业务模式应该是什么样子？如何实现转型呢？这成为困扰企业的难题。追根溯源，今天的新经济环境是由网络所引起的，因此企业的业务转型也必须通过网络才能实现。在网络时代，企业的业务模式应该是以一个灵活、协同、安全和智能化的网络环境为核心的。 这样一个网络环境可以支持企业做到实时响应客户需求，从而提高用户的满意度；可以有效屏蔽来自各方面的安全隐患，使业务顺畅运行；可以充分的整合各种资源，提高生产力；可以及时反应市场变化，帮助企业不断创新；还可以真正做到企业内外的互联互通，实现高效的协同合作。可以说，构建这样一个网络环境是企业实施转型的基础。 要构建这样一个强大的网络靠企业自身是无法完成的，企业需要的也不是一个传统意义上的it供应商，而是一个拥有强大产品、技术、服务支持，能提供全面的解决方案，拥有丰富的行业应用经验，特别是能够深刻了解网络经济模式、具有领先的战略眼光的商业合作伙伴。 在这方面，思科公司无疑是一个最可信赖的伙伴。思科通往新商道的金桥 从网络诞生之日起，有一个一直与之密不可分的名字：cisco systems, inc. 思科系统公司。1984年12月，思科系统公司在美国成立。1986年，思科第一台多协议路由器面市，1993年，世界上出现一个有1000台思科路由器连成的互联网络，思科系统公司也从此进入了一个迅猛发展的时期。目前, 思科公司每年投入30多亿美元进行技术研发，约占其销售额的14%-17%。过去20年，思科几乎成为了“互联网、网络应用、生产力”的同义词，思科公司在其进入的每一个领域都成为市场的领导者。1990年上市以来，思科公司的年收入已从6900万美元上升到2006财年的285亿美元。 如今, 思科系统公司已成为公认的全球网络互联解决方案的领先厂商，其提供的解决方案是世界各地成千上万的公司、大学、企业和政府部门建立互联网的基础，用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。同时，思科系统公司也是建立网络的中坚力量，目前互联网上近80%的信息流量经由思科系统公司的产品传递。思科已经成为毋庸置疑的网络领导者。 cisco的名字取自san francisco，那里有座闻名于世界的金门大桥。可以说，依靠自身的技术和对网络经济模式的深刻理解，思科成为了网络应用的成功实践者之一。 与此同时, 思科正在致力于为无数的企业构筑网络间畅通无阻的“桥梁”，并用自己敏锐的洞察力、丰富的行业经验、先进的技术，帮助企业把网络应用转化为战略性的资产，充分挖掘网络的能量，获得竞争的优势, 进而协助企业部署新形势下的 “新商道”. “新商道”背后的技术支持体系, 就是思科目前在大力推动的思科智能信息网络架构 iin. 第3章 思科iin智能信息网络架构介绍思科智能信息网络是思科 3到5年的远景, 其目的是帮助客户, 通过增加对网络的投资, 以获取不断增长的业务价值, 其商业价值的最好体现就是思科的”新商道”.1. 思科”新商道”- 思科智能信息网络的商业价值 企业如何突破现有的商业模式？企业应该向什么样的目标商业模式转变？如何保证变化过程中企业的业务平稳、安全、有效地运营？如何保证转型成功？ 曾经，思科以金门大桥为图腾，传达为企业搭建网络通途的理念。现在，应对经济环境的变化, 思科又修筑好一条“新商道”: cisco iin (思科智能信息化网络)，它可以作为企业的最佳服务平台, 连通业务与技术的隔隙, 帮助企业解决在转型过程中面临的多种难题。 “新商道”为企业揭示了最重要的5条制胜黄金法则，帮助那些渴望成功转型、渴望决胜网络时代的企业, 通过部署思科智能信息化网络, 从而踏上成功的红地毯。 黄金律1：业务安全永续 如果没有适当的保护措施，网络将成为企业最大的软肋。它的每个部分都可能成为安全漏洞，随时随地都可能遭受打击。尤其当企业的运营都建立在一套网络基础架构之上时，保障企业基础网络安全运营几乎就等同于保障企业业务的安全运营。在全球，在中国，很多企业都选择把他们的安全系于思科。因为思科领先的安全技术让网络自身具备智能的、主动防御的能力，帮助企业防患于未然，化险于无形。 黄金律2：客户满意 在网络社会，用户可能仅仅因为几秒钟的等待而改变选择。这要求企业必须具有强大的动态反应能力，对千变万化的用户行为做出迅速甚至实时的响应。正确地使用网络技术解决方案，可帮助企业简化与客户沟通的方式，将更多的时间用于提供出色的客户服务。在很多以服务为生命线的领域，思科的智能信息化网络解决方案在帮助企业提升客户满意度方面贡献良多。 黄金律3：协作 千里走单骑的时代一去不复返了。网络经济让人们信奉团队至上、合作为王，也让越来越多的企业将视野放在了全球。在跨越传统地域概念的经营中，信息的及时有效共享成为了决定企业运营效率高低的关键因素。企业与上下游的供应商及其他合作伙伴之间畅捷的信息沟通，是决胜的有力保证。 黄金律4：创新 世界在变，市场在变，客户的需求也在变。每个追求卓越的企业都在追求不断改变。创新因此被企业奉为制胜法宝。一个快速、高效、安全、智能的网络，能为企业提供一个及时获取市场变化信息的强大平台，加速企业的创新能力和发展速度。全球化的电子商务、电子政务、电子校务、电子医务是推动创新的市场变迁，也是运用网络创新的生动应用。 黄金律5：生产效率 计算机和网络带来的最大好处就是大大提高了人们的工作效率。企业越来越认同网络带来的改变，但也同时面临困惑投资巨大的网络系统，如何能够促进业务流程的合理简化，更好地帮助到企业的核心业务，进一步提高效率降低成本。思科能够为客户提供一系列基于互联网的解决方案，为企业后台资源与前端市场之间建立紧密的联系，有效降低成本，提高生产效率，从而提高企业投资回报率。在思科的客户中，有着不胜枚举的以小搏大的成功案例，亲身验证了思科智能信息化网络解决方案带来的高效率和高回报。2. 思科智能信息网络技术概述 思科智能信息网络是思科公司为客户提供的全方位解决方案框架, 它可以为客户提供一个具有通用的集成化资源、特性和功能的系统，从而优化通信和管理, 为提高业务灵活性和迅速部署新的业务服务、应用创造新的机会。 该框架分为3个阶段, 允许客户按需逐步实施和完善: 1) 智能化信息网络的第一个发展阶段: 传输整合的网络, 以ip网为基础，在一个由多个网络组成的系统中实现数据、语音和视频的融合, 将所有的应用、资源放在上面，并保证安全、易管理。总的来看，传输整合主要有四点：ip通信、移动、管理和安全。 第一阶段为客户带来更低的总体运营成本(tco)、更好的网络管理和性能、更加经济有效的可扩展性，以及对先进技术(例如无线、存储、ip语音和安全)的无缝支持。 2) 智能化信息网络的第二个发展阶段: 资源整合的网络, 一个网络，多种使用, 实现信息资源在网络上的智能动态分配。与用专门的资源支持各种应用和服务不同，这些应用和服务现在可以从一个资源库中获取自己所需要的资源。这将实现通常所谓的“按需”计算。智能化信息网络将依靠消息级通信和策略，动态地管理资源的分配。这种“按需”计算需要紧密、无缝地将各种先进技术(例如存储、安全和无线)与现有的ip基础设施相集成。通过更加灵活、有效的资产利用，企业网络将从实质上降低企业运营成本。3) 智能化信息网络的第三个发展阶段: 应用整合的网络, 智能迁移入网络, 企业更加强调“应用和服务的虚拟化”。这个阶段的目的是让企业和消费者可以更加方便地使用与智能化信息网络相连的资源。最终的目标是让用户可以随时以任何方式访问他们所需要的应用和信息。这就需要加强网络和应用之间的通信能力，以及消息级的检测能力。为此，第三阶段将需要功能强大的应用编程界面(api)，以便让应用可以将它们所需要的资源和服务告知网络。这就是被称为面向应用的网络。 针对不同行业的客户需求, 智能化信息网络演化出有针对性的解决方案：1) 电信行业: 思科ip ngn方案；2) 企业市场:“服务导向网络架构”（sona）；3) 商业市场和中小企业用户:“一站式服务”（whole offer）；4) 家用和soho办公环境: “网络家庭”（connected home）3. 思科智能信息化网络的组成部件概述思科智能信息化网络整合了网络基础设施和创新的网络应用, 其关键的组成部件如下: 1) 思科智能路由、交换方案;lan与wan设备内置和支持服务上层应用所需的各种智能服务，比如安全,qos, ip语音服务等等, 以保证连续的网络效率和业务生产力，为客户提供灵活、安全且具有更高性能的网络, 并充分发挥客户在此方面的投资价值。2) 思科at(advanced technology) 新技术解决方案: sdn: 思科自防御网络安全解决方案 安全和网络的紧密结合推动了自防御网络的发展网络安全的可见性使得网络安全相关工作更容易管理和控制自防御网络为提高网络安全相关服务提供了一个平台，使客户在网络安全方面的投资更加有价值。 uc: 思科统一通信解决方案 通过智能整合，达成通信工具间的无缝整合、协同交流，从而大幅提高沟通效率。 思科统一无线方案 建设和有线网络同样安全可靠的无线连接。在提供数据访问和便捷的管理基础之上，同时提供语音、访客网络和定位的高级服务。 思科智能存储网络方案 企业智能存储方案, 提供可扩展的, 高可用性的, 更容易管理的存储网络方案体系框架. 可以帮助企业减少费用, 方便改变的灵活性, 提升远程文件管理和备份的能力。 光网络方案 电信运营商能够通过集成智能光传输，灵活的带宽管理和融合的语音、视频、数据的服务来优化网络。 应用网络服务方案 整合现有的企业网络基础设施，对各种应用进行扩展、交付、优化和集成，实现企业应用加速的目标，以解决企业it应用日益复杂化的问题, 满足企业客户在网络层面对日益增长的交互应用的需求。 数字视频方案 视频业务在未来几年将获得高速增长, 运营商开始提供高清晰ip视频服务，数字视频将是未来几年运营商的重要应用。 托管服务 电信服务业公认的未来发展方向. 对最终用户而言，由运营商负责用户日常的网络运行管理，这样用户能够将资源和精力集中在自身的核心业务上；对于运营商来说，可托管服务能够帮助运营商整合现有资源，充分挖掘网络潜力，提升网络以及服务的内在价值。第2篇 思科智能网络方案售前方案典型配置参考 本篇内容重点:1) 提供3个思科技术方案的典型配置参考:统一通讯, 安全, 无线; 2) 更多,更新内容, 请参考在线版本: /cn/partners/tec_handbook/index.shtml 第1章 思科统一通讯方案典型配置参考- 小规模用户uc典型配置参考 思科路由器 ip语音方案1.1. 用户需求分析: 客户规模: 客户有一个总部, 约有100名员工; 一个分支机构, 约有20名员工; 客户需求: 组建安全可靠的总部与分支机构的lan和wan; 总部和分支部署ip电话, 以及ip语音信箱服务; 方便和图形化的网络管理; 整体方案要便于以后升级, 以利于投资保护; 思科建议方案: 部署思科智能交换机和多业务集成路由器, 构建安全的数据通信网络; 部署思科统一通信方案, 构建语音通信网络; 部署思科cna, 实现图形化的网络管理;1. 思科建议方案设计图:专线或vpnisr3825多业务路由器cisco communication manager express +cisco unity express +ios firewall+ips+vpn服务器cat3560cisco ip 电话7942/7962台式机或笔记本电脑无线访问点cisco ap公司总部传真机pstnisr2811多业务路由器cisco communication manager express +cisco unity express +ios firewall+ips+vpn +nm-16es-1g-p cisco ip 电话7942台式机或笔记本电脑ip communicator软电话无线访问点cisco ap分公司传真机cat2960在线供电交换机1.2. 思科建议方案总体配置概述:v 安全和智能的总部与分支网络: lan: 总部部署思科cat3560和cat2960交换机, 可提供约100个用户的接入; 分支部署isr路由器加配思科nme交换机模块, 可提供约16个用户接入; wan: 总部isr3825路由器,可支持最多168门ip电话, 分支isr28系列或以上的路由器, 实现总部和分支之间安全可靠地互联, 可以采用专线, 也可以经由因特网, 采用vpn实现;v 总部和分支用户的ip通讯服务: 总部isr3825和分支isr2811分别运行思科communication manager express ip电话服务, 提供总部最多168台ip电话机, 分支36台ip电话的服务; 总部和分支的用户也可以使用pc上的思科ip communication软件电话进行通信; 总部isr3825和分支isr2811部署cisco unity express , 提供总部和分支的语音信箱服务;v 安全服务: 利用总部和分支路由器的ios fw和ios ips, 及 ipsec vpn和web vpn功能, 实现安全的网络访问和应用传输, 以及高级的应用控制; 另外, 可利用思科auto-secure功能快速部署路由器自身的安全.v 网络管理: 图形化思科网络助理cna, 可以监控,配置和管理总部或者分支网络中的所有设备, 包括交换机,路由器和ip电话机; 可从cna中调用思科sdm管理软件,对路由器上的所有功能, 包括防火墙, vpn和ips等进行图形化的配置管理; 利用图形化交互式ip通信配置工具: qct(quick config tool), 帮助客户实现所需要的ip通讯功能; 利用图形化的ccme和cue配置界面, 可以方便地配置管理communication manager express和unity express;1.3. 总部方案产品配置详述:v lan: cat3560-48ps为主干, cat2960-24pc为桌面交换机, 可提供总部的用户以100m接入, 同时提供ip电话机的电源供应;v wan: 采用isr3825, 配置vwic2-1mft-g703, 通过e1线路连接分支网络, 如果希望经由因特网, 利用vpn实现网络互联, 可以不配此部件;v 统一通信: isr3825上配置若干vwic2-4fxo,提供n*4条直线连接pstn, 配置vwic2-2fxs, 连接内部的传真机和模拟电话机; 如果需要更多的模拟电话接入和pstn线路连接, 可配置evm扩展语音模块, 最大支持24个fxs或者 8个fxs+12个fxo端口; 或者采用nm-hdv2和或vwic2-mft-e1以支持更多的接入数量; 配置思科communication manager express 的ip电话服务, 提供100个ip电话支持, 最大可以扩展到168个ip电话; 配置思科nm-cue-ec模块, 提供100个语音信箱的服务, 最多可支持250个语音信箱. 按需配置ip 电话机: cisco 7942g,或者 cisco 7962g, 和 ip communicator软电话v 安全: 配置思科路由器上的ios fw和ios ips实现高级应用控制, 配置web vpn和ipsec vpn, 实现总部和分支互联, 以及远程接入的功能; 1.4. 分支方案产品配置详述:v lan & wan: lan方面, 采用isr2811, 配置nme-16es-1g-p, 该模块具有32gbps的交换背板, 所有端口线速实现l2/l3转发和l3/l4的服务, 包括增强的dai及ip sourceguard等功能, 它可提供16个用户以百兆接入, 1台服务器以千兆接入, 同时提供ip电话机所需的电源供应. wan方面, 在isr2811上配置vwic2-1mft-g703, 通过e1线路连接总部网络, 如果希望经由因特网, 利用vpn实现互联, 可以不配此部件;v 统一通信: isr2811上配置vwic2-2fxo,连接pstn, 配置vwic2-2fxs, 连接内部的传真机和模拟电话机; 如果需要更多的模拟电话接入和pstn线路连接, 可以配置更多的vwic-fsx/fxo, 或者 nm-hdv2和或vwic2-mft-e1以支持更多的接入数量; 配置思科communication manager express 的ip电话服务, 最多可提供36个ip电话支持; 配置内置于机箱的思科aim-cue模块, 提供25个语音信箱的服务, 最多可支持50个语音信箱. 按需配置ip 电话机: cisco 7941g, 和 ip communicator软电话,思科有很多款ip话机,用户如果考虑价格因素还可以选择更为便宜的3911/7906/7911话机.v 安全: 配置思科路由器上的ios fw和ios ips实现高级应用控制, 配置ipsec vpn, 实现总部和分支互联的功能; 1.5. 总部和分支方案产品清单:总部产品配置清单:c3825-vsec-ccme/k9isr3825 语音安全销售捆绑包, 包括isr3825硬件, 高级ip服务特性集的ios软件, 语音编解码pvdm2-64, 168个ip电话机支持的fl-ccme-168, 128mb flash, 512mb dramvic2-4fxo4端口 voice interface card fxo, 连接外线pstnvic2-4fxs4端口 voice interface card fxs, 连接fax和模拟电话机vwic2-1mft-g7031端口 rj-48 multiflex trunk - g.703, 连接专线;nm-cue-ec语音信箱服务模块, cisco unity express network module enhanced capacityscue-2.3语音信箱服务软件, cisco unity express base release - 2.3scue-lic-100cme100个语音信箱许可, unity express license 25 voice mailbox-auto attendant-ccmews-c3560-48ps-scatalyst 3560 48 10/100 poe + 4 sfp standard imagews-c2960-24pc24 10/100 (24poe) and 2 10/100/1000bt or sfp uplinkscp-7942gcisco ip phone 7942sw-ccme-ul-7942cisco callmanager express license for single 7942 ip phonecp-7962gcisco ip phone 7962sw-ccme-ul-7962cisco callmanager express license for single 7962 ip phone分支产品配置清单:c2811-vsec-ccme/k9isr2811 语音安全销售捆绑包, 包括isr2811硬件, 高级ip服务特性集的ios软件, 语音编解码pvdm2-16, 36个ip电话机支持的fl-ccme-36, 64mb flash和256mb dramnme-16es-1g-p以太网交换模块, 16 10/100t poe + 1 ge,ip basevic2-2fxo2端口 voice interface card fxo, 连接外线pstnvic2-2fxs2端口 voice interface card fxs, 连接fax和模拟电话机vwic2-1mft-g7031端口 rj-48 multiflex trunk - g.703, 连接专线;aim-cue语音信箱服务模块, unity express aim -price includes 12个mailbox语音信箱scue-2.3语音信箱服务软件, cisco unity express base release - 2.3scue-lic-25cme25个语音信箱许可, unity express license 25 voice mailbox-auto attendant-ccmepwr-2811-ac-ip利用nme-16es提供在线电源支持的电源, cisco 2811 ac/ip power supplycp-7942gcisco ip phone 7942sw-ccme-ul-7942cisco callmanager express license for single 7942 ip phone第2章 思科自防御网络安全方案典型配置参考2.1. 用户需求分析 客户规模: 客户有一个总部, 具有一定规模的园区网络; 一个分支机构, 约有2050名员工; 有总计十几个移动办公用户 客户需求: 组建安全可靠的总部和分支lan和wan; 在内部各主要部门间, 及内外网络间进行安全区域划分, 保护企业业务系统; 配置入侵检测系统, 检测基于网络的攻击事件，并且协调设备进行联动; 总部和分支的终端需要提供安全防护, 并实现网络准入控制，未来实现对vpn用户的网络准入检查; 需要提供ipsec/web vpn接入; 需要保护内部mail系统，阻止垃圾邮件； 网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击； 图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击; 整体方案要便于升级, 利于投资保护； 思科建议方案: 部署边界安全：思科ios 路由器及asa 防火墙，集成ssl/ipsec vpn; 安全域划分：思科fwsm防火墙模块与交换机vrf及vlan特性配合，完整实现安全域划分和实现 业务系统之间的可控互访; 安全检测：思科ips42xx、idsm、asa aip模块, ios ips均可以实现安全检测并且与网络设备进行联动; 邮件安全：部署ironport c系列产品可以实现对大量垃圾邮件的过虑及邮件病毒的防护； 部署终端安全：思科准入控制nac appliance及终端安全防护csa解决方案紧密集成; 安全认证及授权:部署思科acs 4.0认证服务器; 安全管理：思科安全管理系统mars，配合安全配置管理系统csm使用。2.2. 思科建议方案拓扑图2.3. 思科建议方案总体配置概述v 安全和智能的总部与分支网络: lan: 总部, 核心层思科cat6500；分布层cat4500；接入层cat3560和cat2960交换机, 提供公司总部园区网络用户的接入; 分支可以采用思科asa5505 防火墙内嵌的8fe接口连接用户, 同时其头两个lan端口支持poe以太网供电, 可以连接ap及ip电话等设备使用, 并且asa5505留有扩展槽为便于以后对于业务模块的支持。 wan: 总部isr3845 路由器, 分支isr2811或者asa防火墙, 实现总部和分支之间安全可靠地互联, 可以采用专线, 也可以经由因特网, 采用vpn实现;并且为远程办公用户提供ipsec/ssl vpn的接入。v 总部和分支自防御网络部署说明 总部和分支路由器或者asa防火墙, ips, 及 ipsec vpn和web vpn功能, 实现安全的网络访问和应用传输, 以及高级的应用控制; 另外, 可利用思科auto-secure功能快速部署设备自身的安全。 安全域划分：实现行业用户内部业务系统逻辑隔离，并且保证在策略允许的情况下实现可控的互访，可以利用思科fwsm防火墙模块与c6k交换机完美集成，并且思科交换机vrf特性相结合，二层vlan隔离，三层vrf隔离，最终利用vrf终结业务对应不同的虚拟防火墙，并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的可控互访。 终端安全：终端安全nac+csa，利用思科nac applinace 解决方案通过配置cam/cas两台设备实现思科nac解决方案保证对于网络内主机的入网健康检查，利用思科csa软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用（p2p)、限制u盘使用等操作，两套解决方案可以实现完美结合，并且csa可以与mars及ips进行横向联动，自动拦截攻击。 安全检测：思科ips42xx、idsm、asa aip模块均可以实现安全检测并与网络设备进行联动，思科安全ips设备支持并联和串连模式，旁路配置时可以监控各个安全域划分区域内部业务，识别安全风险, 与mars联动，也可以与思科网络设备防火墙、c6k交换机、路由器等进行联动，自动推送配置给设备实现攻击的拦截工作。isr启用netflow功能与mars进行联动进行异常流量及行为监控; 邮件安全：思科ironport 系列通过其特有的senderbase及信誉过虑机制为用户提供高安全级别的垃圾邮件过虑和mail安全。可以大量减少公司遭受的垃圾mail的困扰并预防最新的病毒通过email的形式感染到客户。 安全认证及授权: 部署思科acs 4.0认证服务器，实现网管认证，并且可以实现有线及无线用户dot1x认证需求 安全管理：图形化思科安全管理器csm, 可以监控,配置和管理总部和分支所有安全设备, 包括防火墙, vpn和ips等; 思科安全响应系统mars，随时获取全网范围内的所有报告, 进行智能的关联和分析, 进而结合网络拓扑图, 分析出当前正在发生的攻击路径, 并给出响应方案, 也可调用网络设备对攻击进行拦截和阻断。2.4. 安全方案相关产品配置简述v lan: 总部c6k交换机为主干, 分布层交换机c4500，接入层交换机 ce500-24pc为桌面交换机, 可提供用户以100m接入, 同时提供ip电话机的电源供应;v wan: 采用isr3800系列路由器,小型分支机构建议利用asa5505直接组网即可;v sdn自防御网络安全: 边界安全：isr 路由器及asa 5500防火墙;配置asaaip模块实现基于网络攻击的拦截, 同时购买相应的ips 模块smartnet服务。 安全域划分：在核心的cat6500交换机配置fwsm防火墙模块，与交换机vrf及vlan特性配合，完整实现安全域划分以及 业务可控互访。 终端安全：配置两台cam及cas（冗余配置）实现nac部署(cam旁路配置），根据用户规模选择适当cam型号，并且根据同时在线管理的客户机数量选择cas的授权、配置csamc服务器, 根据用户实际需求购买相应数量的服务器及终端机保护授权, 必须同时购买相应的smartnet服务。 安全检测：可以单独配置思科ips42xx、c6k集成 idsm入侵检测模块、asa 集成的aip模块等均可以实现安全检测并且与网络设备进行联动。 email安全：可以配置cisco ironport系列的c150系列或者c350系列，配置两台实现冗余。 安全认证及授权:部署思科acs 4.0认证服务器，配置两台acs可以实现冗余。 安全管理：思科安全响应系统mars，安全管理系统csm; 小型企业购买mars-20r, 可以通过授权升级至mars20，中型企业园区网络建议mars-50或以上型号。 分支机构：小型分支机构建议利用asa5505组网、一台设备实现交换路由安全功能三合一。规模较大分支机构可以推荐用户利用isr集成组网。2.5. 总部和分支方案产品清单总部边界安全配置:cisco3825-sec/k93825 security bundle,advanced security,64f/256daim-vpn/ssl-3des/3des/aes/ssl vpn encryption/compressionfl-webvpn-100-k9feature license ios ssl vpn up to 100 users (incremental)cab-acaplug,power cord,australian,10aasa 5520+aip模块服务asa5520-aip20-k8asa 5520 appliance w/ aip-ssm-20, sw, ha, 4ge+1fe, descab-acaplug,power cord,australian,10asf-asa-7.2-k8asa 5500 series software v7.2asa-vpn-clnt-k9cisco vpn client software (windows, solaris, linux, mac)con-su1-as2a20k8ips svc, ar nbd asa5520-aip20-k8总部安全域划分配置建议: cat6506 + fwsm+2个虚拟防火墙授权ws-c6506-e-fwm-k9cisco catalyst 6506e firewall security systems733aisk9-12218sxecisco cat6000-sup720 ios advanced ip services sshmem-c6k-cptfl128mcat6500 sup720/sup32 compact flash mem 128mbws-cac-3000wcatalyst 6500 3000w ac power supplycab-ac16a-ch16a ac power cord for china总部终端安全 之终端安全防护csa配置建议:csa 25服务器授权csa-b25-srvr-k9cisco security agent 25 server agent bundlecon-sau-csa-b25ssw app supp cisco security server agent - 25 agentscsa 250个客户端授权csa-b250-dtop-k9cisco security agent 250 desktop agent bundlecon-sau-csa-b250dsw app supp cisco security desktop agent - 250 agentcsa mc 管理软件csa-start-5.1-k9=csa 5.1 starter kit mc, 1 server, and 10 desktop agentscon-sau-csa-strtsw app supp csa starter bundle总部安全检测 思科ips产品线配置建议, 硬件为例：ips 4240服务ips-4240-k9ips 4240 appliance sensorips-sw-5.0ips 5.0 software for ids 4215, ips 4240 and 4255 seriescab-acaplug,power cord,australian,10acon-su1-ips4240ips svc, ar nbd ips 4240 appliance semail安全系列c150详见/c350详见http:/www.ironport