Cisco ISR 4000系列集成多業務路由器基於應用體驗路由器的概念，將多種服務集成到一個平台中，可以提供典型分支機構所需的所有服務。這些服務包括增加路由、交換、統一協作、安全性、WAN加速、應用程序優化以及應用程序可視性和控制（AVC）的能力。與此同時這些路由器專為擴展而設計，可以提供隨著時間的推移或是遠程站點不斷增長而來更高的性能和功能要求，而無需進行昂貴的系統或硬體升級。

Cisco ISR 4000系列ISR運行CiscoIOS®XE軟件。

您現在只需要一個用於路由器的Cisco IOS XE軟體映像，它包含所有特性和功能。您可以透過啟動授權有選擇地在此通用軟體映像中啟用功能。無論您的網絡中任何特定區域需要哪些特性或功能。

Cisco ISR 4000系列的打包和許可類似於Application Experience路由器（參見圖1）：

• IP Base技術包（默認）
• 應用體驗技術包（AppX）
• 安全技術包（SEC）和高安全性（HSEC），具有強大的加密吞吐量和隧道數
• 統一協作技術包（UC）

圖1 Cisco ISR 4000系列ISR的打包和許可證模型

Cisco ISR 4000系列提供：

• 可通過軟體授權啟動的轉發頻寬升級功能
• 可擴充網路接口模塊（NIM）和增強型服務模塊（SM-X）的能力
• 支持基於內核虛擬機（KVM）的容器，為集成應用程序提供支持
• 支持包括Snort和CiscoStealthwatch®學習網絡（SLN）在內的應用程序
• 使用Netconf和YANG的網絡可編程性

Cisco ISR第2代（ISR G2）路由器上提供的EHWIC模塊不適用於4000系列ISR。 4000系列針對需要高帶寬和更高應用性能的新分支機構環境，使大多數EHWIC無法應用。 此外較新的NIM架構允許在高端平台上實現更快，更強大的模塊。

不可以.NIM專為更新的架構而設計，不適用於Cisco 1900,2900和3900系列ISR。

機架安裝套件訂購部件號ACS-4450-RM-19 =適用於4451-X的備用19英寸機架安裝套件。對於4321,4331,4351和4431，您可以使用ACS-4320-RM-19 =、ACS-4330-RM-19 =、ACS-4430-RM-19 =和ACS-4450-RM- 19 =，對於新的4461，您可以將ACS-4460-RM-19 =用於19英寸機架套件

電信機架訂購部件號ACS-4450-RM-23 =適用於Cisco 4451-X的備用23英寸機架安裝套件。對於4461可訂購備件代碼ACS-4460-RM-23 =。同樣為Cisco 4431訂購ACS-4430-RM-23 =、為Cisco 4351或4331訂購ACS-4330-RM-23 =。

GigabitEthernet0是Cisco ISR 4000系列上的專用管理端口。 該接口直接連接到控制平面CPU，非常適合通過Telnet，安全外殼（SSH）協議，簡單網絡管理協議（SNMP）和其他管理協議管理路由器。 它也非常適合下載軟件映像，上載日誌以及連接到其他管理設備，如RADIUS，網絡時間協議（NTP），域名系統（DNS），動態主機配置協議（DHCP）和TACACS服務器。 該接口永遠不應用於通過系統轉發正常數據流量，因為每個數據包都會繞過平台數據平面直接進入控制平面CPU。 由於這種靈敏度，G0默認位於專用的Mgmt-Intf虛擬路由轉發（VRF）端口。 此設置可防止意外的路由錯誤，這些錯誤可能導致數據流量路由到管理網絡。

Cisco ISR 4000系列可選擇常規RJ-45控制台端口以及USB控制台端口。與ISR G2路由器一樣，一次只能使用一個控制台端口，優先考慮USB控制台端口。Cisco 4221路由器具有用於AUX和控制台的組合RJ-45端口。

Cisco Catalyst 2960-X系列交換機是世界上部署最廣泛的接入交換機的下一代產品。 它們具有可擴展性，智能性，簡單性和安全性 ，同時提供投資保護。 這些交換機還提供第3層路由功能，應用程序感知智能，並使規模擴大一倍。 它們是有史以來最環保的Cisco Catalyst接入交換機。 這些開關旨在降低總體擁有成本。

Cisco Catalyst 2960-X系列具有通用通用映像，並支持LAN Lite，LAN Base和IP Lite功能集，如表1所示。

表格1。2960-X系列支持的功能集

三個Cisco IOS軟件功能集之間的差異是：

• LAN Lite功能集具有入門級第2層功能，適用於中端市場部署
• LAN Base功能集具有高級第2層功能，通常面向企業客戶
• IP Lite功能集附帶企業訪問第3層功能，通常面向企業客戶

Cisco Catalyst 2960-X系列前面板貼紙具有功能集名稱。 從Cisco Catalyst 2960-X系列交換機的後部，LAN Lite型號不支持堆疊。 左側沒有用於插入堆疊模塊的位置。

從Cisco IOS軟件命令行，有兩種方法可以判斷交換機具有哪個軟件映像。

產品ID中的最後一個字母。 如果最後一個字母是“-L”，那就是LAN Base。 如果它是“-LL”，那就是LAN Lite。 如果它是“-I”，那就是IP Lite 例如：

• WS-C2960XR-48FPS-I是IP Lite
• WS-C2960X-48LPS-L是LAN Base
• WS-C2960X-48TS-LL是LAN Lite

不可以。功能集與硬體綁定，要獲得IP Lite的功能和特性，您必須購買IP Lite（2960-XR）交換機。

Cisco FlexStack-Plus是一種可熱插拔的模塊化堆疊解決方案，可提供真正的堆疊功能，所有交換機均可作為單個交換單元使用統一數據平面，使用單個IP地址。 Cisco Catalyst 2960-X系列支持Cisco FlexStack-Plus，最多可堆疊8個交換機，吞吐量為每秒80GE位。

FlexStack-Plus和FlexStack-Extended技術與FlexStack技術類似，但表3中列出了差異。

表3。FlexStack，FlexStack-Plus和FlexStack-Extended的比較

Cisco FlexStack-Extended支持遠程佈線間堆疊。FlexStack-Extended允許最多八個Cisco Catalyst 2960-X或2960-XR系列交換機的後面板堆疊。 FlexStack-Extended可以添加到帶有後堆疊插槽的Cisco Catalyst 2960-X或2960-XR系列。FlexStack-Extended有兩種模塊配置：光纖模塊（C2960X-FIBER-STK）和混合模塊（C2960X-HYBRID-STK）。

Hybrid模塊具有一個銅端口，可實現跨本地交換機堆棧的短距離連接，以及一個用於遠程連接的SFP+端口。 Hybrid模塊提供投資保護並與FlexStack-Plus兼容。光纖模塊有兩個SFP +端口，支持長距離的配線間隔堆疊。

LAN Base和IP Lite功能集模型是Cisco Catalyst 2960-X系列中的可堆疊模型。 LAN Lite功能集模型是一個獨立模型。 注意：無風扇SKU（帶Lan Base的WS-C2960X-24PSQ-L）不支持堆疊。

不，LAN Base和IP Lite功能集模型不能堆疊在一起。 LAN Base功能集模型只能與LAN Base功能集模型堆疊。 同樣，IP Lite功能集模型只能與IP Lite功能集模型堆疊。

不可以.Cisco Catalyst 2960-X和2960-XR交換機不能堆疊在一起，因為它們不共享通用功能集模型。

Cisco Catalyst 2960-X系列交換機具有增強的有限終身保修（E-LLW）。E-LLW提供與思科標準有限終身保修相同的條款，但在下一工作日交付更換硬體（如果有），以及90天8X5思科技術支持中心（TAC）支持。您的正式保修聲明（包括適用於Cisco軟件的保修）顯示在Cisco產品隨附的Cisco信息包中。 我們建議您在使用前仔細查看特定產品隨附的保修聲明。思科保留退還購買價格作為其專有保修補救措施的權利。有關保修條款的更多信息，請訪問cisco.com/go/warranty。

表11。保修條款

思科增強了有限終身硬件保修

使用Cisco Catalyst LAN Lite，LAN Base或IP Lite（僅限2960-XR系列）軟體許可證的客戶將獲得維護更新和錯誤修復，旨在維護軟件與已發布規範，發行說明和行業標準合規性的合規性只要原始最終用戶繼續擁有或使用該產品，或者從該產品的銷售終止日期起最多一年，以較早者為準。

無線路由器或接入點的信號通常可延伸至約300英尺。

有許多方法可以保護您的WLAN，包括：

• 數據加密，僅授權用戶通過無線網絡訪問信息
• 用戶身份驗證，用於標識嘗試訪問網絡的計算機
• 為訪客和訪客提供安全訪問
• 控制系統，用於保護筆記本電腦和使用網絡的其他設備

小型企業可以從WLAN體驗到許多好處。 幾個例子：

• 您可以從無線網絡覆蓋區域內的任何位置訪問網絡資源
• 無線訪問Internet和公司資源可以幫助您的員工提高工作效率和協作性
• 您不必像使用有線網絡那樣使用電纜。 安裝可以快速且經濟高效
• 您可以根據需要輕鬆擴展WLAN，因為不涉及任何線路
• 通過消除或減少佈線費用，WLAN的運營成本比有線網絡低

傳統的防火牆，是依照封包的來源IP、Port等第三、第四層的資訊，進行封包過濾，像防水閘門一樣，減少網路被惡意程式攻擊的可能性，但是NGFW必須做到更多。次世代防火牆（Next Generation Firewall，NGFW）要有能力看懂第七層應用層的流量，識別不同的應用程式流量，而且還要再更進一步識別使用者的身分、裝置等資訊。也就是說，NGFW能提供比傳統防火牆更好的可視性。

Palo Alto Networks NGFW針對已知和未知威脅，提供了三種資安授權服務，分別為Threat Prevention、PAN-DB URL Filtering以及WildFire。Threat Prevention 可以透過特徵碼來找出已知的威脅，包含Anti-Virus、Anti-Spyware以及Vulnerability；對於上網行為管控，透過PAN-DB URL Filtering功能可防止用戶端連線至惡意網站、釣魚網站以及惡意中繼站台；另外針對未知威脅的部份，可透過WildFire功能，即時將檔案送至雲端進行動態分析，分析的結果最快在5分鐘就可以得知，並得到防護的疫苗。以上的防護機制僅需要初次的人工設定作業，接下來都是系統自動化完成。

Palo Alto Networks NGFW有提供三種模式的HA備援機制，其中的HA1是兩台設備間會進行Configure File Sync(設定檔同步)；HA2是兩台設備間會進行Session Sync(用戶端連線不中斷)，而這兩種模式都是提供Active/Standby的備援，只有HA3才會提供Active/Active的備援。如果是考慮單點故障的風險，建議在架構佈署時可以考慮Virtual Wire模式(Transparent Mode)，因為Palo Alto Networks 的Virtual Wire模式僅是電路的串接，並不影響到Mac、IP等交換資訊，所以假使真的發生單點故障時，只要人員至機房端跳線即可排除，可大幅縮短故障復原的時間。

對於Palo Alto Networks NGFW型號大小的選擇，通常會取決於Throughput(頻寬)及Session(會話數量)，在頻寬的考量是以用戶打算要接入Palo Alto Networks NGFW的線路加總頻寬(其中包含了上傳/下載頻寬)，另外就是要考量NGFW的防護方式，如果是僅使用防火牆功能，那就只要考慮Layer7 Firewall Throughput數據，如是考量使用授權功能，那就參考Threat Prevention Throughput數據。