问题编号: 3385
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题编号: 3385
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题编号: 3385
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题编号: 3385
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题编号: 3385
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
问题编号: 3385
问题主题: 思科nbar的一些疑惑
提问者: samelv
提问时间: 2006-3-29 10:32:37
提问内容: 1、数据包识别率的问题
nbar的在实际运用中的效果发现大约10%左右的数据包能辨认出应用类型,其他大量都是unknown ;再给设备导入了cisco站点上的很多pdlm(如bt,ed 的包无法辨认。在公司出口路由器上配置和在电信核心交换机上配置的情况都是一样的,有点失望
2、对设备cpu的影响问题
路由器上启动nbar后cpu影响不大,但是在交换机上(我在7609上试验)cpu 达到99%,差点崩溃!不知道是什么原因?
请指教!
不知道思科asa设备有没什么改进?
谢谢!
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:08:27
回答内容: 1、nbar 对于常见的应用如http/ftp/erp可以提供较好的识别率,一些新的基于应用层的如:bt, e-d
2、nbar 目前采用cpu进行处理,处理性能比纯路由要差,路由器上流量低所以cpu影响较小,7609上流量很大所以cpu占用高。
3、asa上面不是nbar而是采用ips进行特征码匹配,就有独立的cpu和内存,性能很高
4、cisco service c engine 产品采用专用硬件识别基于应用的数据流,识别率和处理性能更高,达到4gbps双向。
问题编号: 3384
问题主题: 是否支持snmp流量查看
提问者: samelv
提问时间: 2006-3-29 10:14:15
提问内容: 是否支持snmp流量查看吗?
如果要在交换机上查看每个端口的流量,要怎么*作?
有没有图形化的界面?
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:20:05
回答内容:
1、交换机中可以安装免费的图形化的界面 cisco switch cluster manager(csm),你可以参考文档装一个。
2、可以使用snmp网管工具,如cisco works, mrtg(free) or solarwinds等,要在交换机上设置ro/rw community name.
问题编号: 3383
问题主题: 关于网络丢包的问题??
提问者: wyh19811106
提问时间: 2006-3-28 22:10:32
提问内容: 我们公司建立了市到县一级的网络,市级用的是cisco3600系列的一台路由器,县里边用的是华为的2600系列的一台路由器 ,现在从市里经过路由器ping县里丢包严重,跳过路由ping不丢包,排除了线路的问题。请问这是什么原因造成的??谢谢(比 较急)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:16:04
回答内容: 可能是路由的问题请检查各个设备和主机上的路由表,使用trace 或tracert 试一下。
问题编号: 3382
问题主题: asa5500系列按照性能来看是针对准千兆市场,什么时候会推出针对高端系统的utm产品
提问者: pandaeyes
提问时间: 2006-3-28 20:57:48
提问内容: asa5500系列主要面向中高端utm市场。
纯高端市场普遍希望采用专用系统组网,而不是utm.
所以cisco catalyst 6500/ 7600 交换机中的vpn、防火墙、ids、ssl vpn等模块是专门面向高端市场的
谢谢
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:23:18
回答内容:
问题编号: 3381
问题主题: 攻击流量对网络的影响
提问者: ea110297
提问时间: 2006-3-28 16:15:19
提问内容: 各位专家好,我想了解一下关于由终端发起的攻击对核心网络的影响问题,假设终端用户是百兆到桌面的,如果这个用户发起攻击的话, 是不是无论攻击源采用什么样的攻击手段和方法,由于他只有100m的接入带宽,只要接入的网络设备能承受这100m的满载负荷, 例如交换机的背板是720g,那攻击源的duplex full也只有200m的流量流向被攻击的目标网络,如果被攻击的目标是1个1g带宽的接入终端,那这个攻击源的流量没办法造成 网络设备crash掉或者被攻击目标的带宽拥塞呢?(假设只考虑产生的攻击流量而不考虑攻击数据对目标造成的影响及后果)
回答者: jiangxing_cisco
回答时间: 2006-3-30 17:30:39
回答内容:
1、网络设备的交换能力指的是流量的转发能力(过境)而不是处理流向自己的流量能力。网络设备自身处理能力是很有限的。
2、攻击分成很多类,靠蛮力(流量大)的和靠智慧的(流量小),所以几十k流量的攻击也可能将整个系统摧毁。
3、cisco 新型网络设备中都加入了专用的硬件用于控制攻击自身的流量,提高设备的抗攻击能力,你可参考copp - c plane protection.
