1.Network Admission Control (NAC)
这个特性只能用于路由器,对于交换机的支持正在进行中。对于现在的网络来说令网管头疼的是由于笔记本等便携式设备的随意网络接入而导致的网络病毒的泛滥。NAC目的就在于解决这个问题,当PC要接入网络时候,NAC可以检查类似病毒软件更新库版本等信息来决定是否可以允许此PC接入网络,从而隔离潜在的威胁。当然微软也有类似的解决方案NAP(Network Access Protection),幸运的是两者正在实现兼容。
2.Intrusion Prevention System
从12.0(5)T开始IOS已经开始支持IDS了,但是当时只支持59个signatures,并且可扩展性也很差。只能算个摆设而已。在12.3(11)T的IPS中支持118个signatures,并且最重要的是客户可以通过更新路由器上flash上的一个SDF(Signature Definition File)文件来增加新的signatures,可喜的是通过新的设计,IPS特性不会影响路由器的性能。
3.Optimized Edge Routing (OER)
OER是一个针对广域网链路分担的的新特性,支持静态和BGP路由,客户可以根据延迟,吞吐量,链路代价值等来定义相应的策略,从而实现多广域网链路的负载均衡,提供了对原有BGP负载均衡策略的扩展,并且可以订购一个基于linux的OER Master Controller Engine来实现图形化的配置。源自www.ITExamPrep.com
4.Transparent Firewall
一般来说防火墙就象一个路由器一样,各个端口在不同的网络,这样对于现有的两个网络增加防火墙可能就要带来相应的网络改变,而12.3(7)T以后,思科引入了透明防火墙的概念,好像netsreen早就有了吧。简单的说就是使用bridge group把你的接口加入进去,然后使用ip inspect来启用防火墙功能在其中的端口,创建控制列表应用于其它端口。
5.Warm Upgrade
正常的IOS升级来说都是要路由器重启,到ROMMON,加载镜像文件,解压缩镜像文件,系统当机的时间很长,而使用了12.3(2)T的这个特性以后,系统重启的时间将减少一半。
6.AutoQoS for the Enterprise
QOS对于运行与WAN链路的语音和视频来说很重要,但是相应的配置又很麻烦,而通过AutoQOS这个特性可以减轻配置的负担,几分钟就可以达到人工几个小时的功能,当然由于自动配置所以可选项相对少,因此在配置结束以及网络有改变的情况下都需要客户来分析配置进行再次检查,确保配置正确符合要求。
7.AutoSecure
AutoSecure是另一个自动化的工具,可以路由器的安全进行分析,根据最佳安全实践来配置相应的安全增强命令,以后会专门写篇文章来对比人工和自动的差别。
8.CallManager Express (CME) and Survivable Remote Site Telephony (SRST)
CME是一个面向中小企业的基于路由器的VOIP电话系统,思科新发布的28xx,38xx系列都提供了这个强有力的支持。而后者SRST则是对于那些部署CallManager企业的远端结点的一个冗余支持,如果Wan链路出现故障,SRST特性的路由器将给远端结点的电话提供有限的呼叫服务。
9.Dynamic Multipoint VPN (DMVPN)
这个特性实际上在12.2(13)T上就有了,但是由于很有用就再特意说一下。由于实际中很多的都是基于hub-spoke的拓朴,随着远端结点的增加这些VPN 隧道的扩展性就很差,并且带来的配置也很复杂,使用这个特性配置将更简单,VPN隧道可以随时建立。
10.IPSec Stateful Failover
对于IPSec的基于状态的切换以前只能在思科的VPNConcenratrors实现,而这个设备在中国是不发售的,而现在路由器上就可以实现了,你有两个路由器都配置了IPSec隧道,在LAN上的连接配置了HSRP,这时如果一个路由器出现问题,另外一个可以马上接管并且IPSec隧道不会断开。
11.Network-Based Application Recognition (NBAR)
12.0 NBAR就有了,但是就象IDS一样支持的应用有限,在12.3通过使用PDLM(Packet Description Language Module)可以加载更多的应用,这个对于控制p2p的应用来说还是起点作用的。源自www.ITExamPrep.com
12.Cisco Security Device Manager (SDM)
SDM的