既然是Cisco方案,那肯定是用Cisco设备啦。不过Cisco设备系列型号那么多,该怎么合理选用呢?买越贵的越好?
恩,这个肯定是。不过。。。会有公司预算是充足到只买贵的不买对的吗?杀鸡用牛刀也太浪费了。那么怎么选择设备呢?
首先,我们来看下表:
表中列出了当前主要Cisco设备的性能参数。
考虑到将来扩展,一般可以按照留有一半的性能余量做参考。
项目公司这边库存有一些Cisco880、881、1811,所以也想尽量用上。然后再新购些1921、2921等设备。
最后分配100人以下分部用880系列,100~200人用1800、1900系列,200人以上用2900系列,中心点的上海主线路用2921,备用线路用1921。恩。。。这个分配省到家了。。。
其中需要注意的是,9系列的Cisco设备如果要用VPN功能,需要采购Security License。比如像Cisco 2921-SEC/K9等这种带有SEC许可的型号。而如1811这样的以前型号就不需要购买。
比如15.0以上的IOS中Cisco许可分为三种:SEC、UC、Data,具体可见下图:
要问为啥现在Cisco采用同IOS+不同license方式组合?据说以前Cisco因为采用不同IOS方式限制功能吃过亏。。。主要是不良代理商就只采购最低端型号,然后自己刷成高端型号的IOS出售,赚取暴利,因为硬件是相同的嘛。。。额,这个是题外话。
如果手头已有的设备怎么看是否有SEC许可呢?
可以直接show version,如果找到显示以下的内容那就是没有SEC。
----------------------------------------------------------------- Technology Technology-package Technology-package Current Type Next reboot ------------------------------------------------------------------ ipbase ipbasek9 Permanent ipbasek9 security None None None uc None None None data None None None
如果没有SEC的话,可以用以下命令激活试用3个月
licensebootmodule c2900 technology-package securityk9
然后在购买SEC后,再用Install license命令来续订。
激活后用crypto ?命令可以确认是否有VPN功能,
#crypto ? ca Certification authority call Configure Crypto Call Admission Control ctcp Configure cTCP encapsulation dynamic-map Specify a dynamic crypto map template engine Enter a crypto engine configurable menu gdoi Configure GDOI policy identity Enter a crypto identity list ipsec Configure IPSEC policy isakmp Configure ISAKMP policy key Long term key operations keyring Key ring commands logging logging messages map Enter a crypto map mib Configure Crypto-related MIB Parameters pki Public Key components provisioning Secure Device Provisioning wui Crypto HTTP configuration interfaces xauth X-Auth parameters
恩。。。这样硬件设备准备完毕了,接下来就是配置了。
Cisco实例1—构建高可用性DMVPN网络3—硬件准备,布布扣,bubuko.com