Cisco网络安全体系结构

Cisco⽹络设备安全配置Cisco⽹络设备安全检查和配置列表前⾔：本⽂档简单描述关于Cisco⽹络设备(路由器和交换机)的常规安全配置，旨在提⽰⽤户加强⽹络设备的安全配置。

在开始本⽂档前，有⼏点需要说明：如果条件允许的话，所有的设备都应该采⽤最新的IOS或者COS。

如果能够采⽤静态路由的话，尽量采⽤静态路由；动态路由⽅⾯的安全配置未在本⽂档之内。

⼀、路由器检查列表：□路由器的安全策略是否有备案，核查并且实施□路由器的IOS版本是否是最新□路由的配置⽂件是否有离线备份，并且对备份⽂件的访问有所限制□路由器的配置是否有清晰的说明和描述□路由器的登陆⽤户和密码是否已经配置□密码是否加密，并且使⽤secret密码□ secret密码是否有⾜够的长度和复杂度，难以猜测□通过Console,Aux,vty的访问是否有所限制□不需要的⽹络服务和特性是否已关闭□确实需要的⽹络服务是否已经正确安全的配置□未使⽤的接⼝和vty是否已经配置shutdown□有风险的接⼝服务是否已经禁⽤□⽹络中需要使⽤的协议和端⼝是否标识正确□访问控制列表是否配置正确□访问列表是否禁⽤了Internet保留地址和其他不适当的地址□是否采⽤静态路由□路由协议是否配置了正确的算法□是否启⽤⽇志功能，并且⽇志内容清晰可查□路由器的时间和⽇期是否配置正确□⽇志内容是否保持统⼀的时间和格式□⽇志核查是否符合安全策略⼆、IOS安全配置1、服务最⼩化关闭所有不需要的服务，可以使⽤show proc命令来查看运⾏了那些服务。

通常来说以下服务不需要启动。

Small services (echo, discard, chargen, etc.)- no service tcp-small-servers- no service udp-small-servers_ BOOTP - no ip bootp server_ Finger - no service finger_ HTTP - no ip http server_ SNMP - no snmp-server2、登陆控制Router(config)#line console 0Router(config-line)#password xxxRouter(config-line)#exec-timeout 5 0Router(config-line)#loginRouter(config)#line aux 0Router(config-line)#password xxxRouter(config-line)#exec-timeout 0 10Router(config-line)#loginRouter(config)#line vty 0 4Router(config-line)#password xxxRouter(config-line)#exec-timeout 5 0Router(config-line)#login注：如果路由器⽀持的话，请使⽤ssh替代telnet；3、密码设置Router(config)#service password-encryptionRouter(config)#enable secret4、⽇志功能Central(config)# logging onCentral(config)# logging IP(SYSLOG SERVER)Central(config)# logging bufferedCentral(config)# logging console criticalCentral(config)# logging trap informationalCentral(config)# logging facility local1Router(config)# service timestamps log datetime localtime show-timezone msec5、SNMP的设置Router(config)# no snmp community public roRouter(config)# no snmp community private rwRouter(config)# no access-list 50Router(config)# access-list 50 permit 10.1.1.1Router(config)# snmp community xxx ro 50Router(config)# snmp community yyy rw 50注：xxx,yyy是你需要设置的community string，越是复杂越好，并且两都绝对不能⼀致。

Cisco 路由器及交换机安全加固法则网络层面的安全主要有两个方面，一是数据层面的安全，使用ACL等技术手段，辅助应用系统增强系统的整体安全；二是控制层面的安全，通过限制对网络设备自身的访问，增强网络设备自身的安全性。

数据层面的安全在拙著《网络层权限访问控制――ACL详解》已经较为系统的讨论。

本文主要集中讨论控制层面即设备自身的安全这部分，仍以最大市场占有率的思科设备为例进行讨论。

一、控制层面主要安全威协与应对原则网络设备的控制层面的实质还是运行的一个操作系统，既然是一个操作系统，那么，其它操作系统可能遇到的安全威胁网络设备都有可能遇到；总结起来有如下几个方面：1、系统自身的缺陷：操作系统作为一个复杂系统，不论在发布之前多么仔细的进行测试，总会有缺陷产生的。

出现缺陷后的唯一办法就是尽快给系统要上补丁。

Cisco IOS/Catos与其它通用操作系统的区别在于，IOS/Catos需要将整个系统更换为打过补丁的系统，可以查询取得cisco最新的安全公告信息与补丁信息。

2、系统缺省服务：与大多数能用操作系统一样，IOS与CatOS缺省情况下也开了一大堆服务，这些服务可能会引起潜在的安全风险，解决的办法是按最小特权原则，关闭这些不需要的服务。

3、弱密码与明文密码：在IOS中，特权密码的加密方式强加密有弱加密两种，而普通存取密码在缺省情况下则是明文；4、非授权用户可以管理设备：既可以通过telnet\snmp通过网络对设备进行带内管理，还可以通过console与aux口对设备进行带外管理。

缺省情况下带外管理是没有密码限制的。

隐含较大的安全风险；5、 CDP协议造成设备信息的泄漏；6、 DDOS攻击导致设备不能正常运行，解决方案，使用控制面策略，限制到控制层面的流量；7、发生安全风险之后，缺省审计功能。

二、 Cisco IOS加固对于(4)T之后的IOS版本，可以通过autosecure命令完成下述大多数功能，考虑到大部分用户还没有条件升级到该IOS版本，这里仍然列出需要使用到的命令行：1、禁用不需要的服务：no ip http server 0.0.055access-list 99 deny any log ntp acess-group peer 98 99 in1.1.1 anyaccess-list 110 deny p 2.2.2 any.....access-list 110 deny p 3.3.3 any限制所有其它流量access-list 110 permit ip any any!class-map control-plane-limitmatch access-group 110!policy-map control-plane-policyclass control-plane-limitpolice 32000 conform transmit exceed drop!control-planeservice-policy input control-plane-policy三、 Cisco CatOS加固1、禁用不需要的服务：set cdp disable //禁用cdpset ip http disable //禁用http server，这玩意儿的安全漏洞很多的2、配置时间及日志参数，便于进行安全审计：set logging timestamp enable //启用log时间戳set logging server //向发送logset logging server //向发送log!set timezone PST-8 //设置时区set ntp authenticate enable //启用NTP认证set ntp key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。

思科认证体系介绍思科认证体系是由Cisco公司建立的分为3个层次的网络技术证书体系,随看Cisco产品线的扩大和市场份额的不断提升,Cisco产品从当初仅有的Cisco路由器和Cisco交换机发展到现在的6大方向：路宙交换”网络设计,网络安全，电倍运营商，语音,网络存储,M Cisco证书也不断的扩壇和调整覆盖了Cisco完整的产品线！Cisco认证体系路由交换：CCNA认证CCNP认证CCIE认证网络设计：CCNA认证CCDA认证CCDP认证网络安全：CCNA认证CCSP认证CCIE认证网络语音：CCNA认证CCVP认证CCIE认证网络存储：CCNA认证CCIE认证电倍运SW : CCNA认证CCIP认证CCIE认证CCNP:Cisco Certified Network Professional1、CCNP认证简介CCNP是全球最大的网络设备公司Cisco（思科）公司的认可的技术证书-Cisco认证资深网络支持工程师，在整个Cisco认证体系处于中级证书的地位。

需要掌握：IP. IGRPJPX. Async路由、Appletalk.扩展访问列表、IP RIP、路由器臺走向、IPX RIP、路由器摘要、最短路径优先（OSPF \变长子网掩码（VLSM X边界网关协议（BGP \串行（Serial \EIGRP、帧中继、综合业务数字网（ISDN X X.25、按需拨号协议（DDR \ PSTN、点对点协议、VLAN、以太网、访问列表、80210、FDDL透明桥及翻译桥。

2、CCNP认证的径CCNP考试途彳"：642-901 BSCI Building Scalable Cisco Internetworks 642-812 Building Converged Cisco Multilayer Switched Networks 642-825ISCW Implementing Secure Converged Wide Area Networks 642-845 ONT Optimizing Converged Cisco NetworksCCNP考试途径二:642-892 Building Scalable Cisco Internetworks (BSCI)Building Cisco Multilayer Switched Networks (BCMSN)642-825 ISCW Implementing Secure Converged Wide Area Networks 642-845 ONT Optimizing Converged Cisco Networks这四门是人们通常选择的考试科目■通过以上四门考试■即可获得CCNP证书。

网络安全设备的三种管理模式目前，随着互联网的高速发展，网络已深入到人们生活的各个方面。

网络带给人们诸多好处的同时，也带来了很多隐患。

其中，安全问题就是最突出的一个。

但是许多信息管理者和信息用户对网络安全认识不足，他们把大量的时间和精力用于提升网络的性能和效率，结果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。

为了防范各种各样的安全问题，许多网络安全产品也相继在网络中得到推广和应用。

针对系统和软件的漏洞，有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的内部网络，有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵，有入侵防御系统和入侵检测系统;而使用范围最为广泛的防火墙，常常是作为网络安全屏障的第一道防线。

网络中安全设备使用的增多，相应的使设备的管理变得更加复杂。

下面就通过一则实例，并结合网络的规模和复杂程度，详细阐述网络中安全设备管理的三种模式。

转播到腾讯微博图1 网络结构图一、公司网络架构1、总架构单位网络结构图如图1所示。

为了确保重要设备的稳定性和冗余性，核心层交换机使用两台Cisco 4510R，通过Trunk线连接。

在接入层使用了多台Cisco 3560-E交换机，图示为了简洁，只画出了两台。

在核心交换机上连接有单位重要的服务器，如DHCP、E-MAIL服务器、WEB服务器和视频服务器等。

单位IP地址的部署，使用的是C类私有192网段的地址。

其中，DHCP服务器的地址为192.168.11.1/24。

在网络的核心区域部署有单位的安全设备，安全设备也都是通过Cisco 3560-E交换机接入到核心交换机4510R上，图1中为了简洁，没有画出3560-E交换机。

2、主要网络设备配置单位网络主要分为业务网和办公网，业务网所使用VLAN的范围是VLAN 21至VLAN 100，办公网所使用的VLAN范围是VLAN 101至VLAN 200。

两个网都是通过两台核心交换机4510交换数据的，但在逻辑上是相互隔离的。

cisco网络安全认证Cisco网络安全认证（Cisco Certified Network Associate Security，简称CCNA Security）是由思科公司提供的网络安全认证，主要用于验证网络安全工程师的能力和技能。

它不仅涵盖了网络安全的基本概念和技术，还包括了网络设备的配置和管理。

CCNA Security认证涵盖了诸多的网络安全领域，包括网络威胁防护、VPN技术、防火墙配置、入侵检测与防御、网络访问控制和安全策略等。

通过CCNA Security认证，网络安全工程师可以了解和掌握网络安全的基本原理和技术，能够保护企业网络系统免受各种网络攻击的威胁。

CCNA Security认证的学习过程主要包括学习网络安全的基本理论知识和技术原理，以及学习网络设备的配置和管理。

学员需要了解各类网络攻击和威胁，熟悉网络安全防御的基本方法和技术。

在实践环节中，学员需要通过虚拟实验和实际操作来掌握网络设备的配置和管理，熟练运用各类网络安全工具和软件。

CCNA Security认证对于网络安全工程师来说具有重要意义。

首先，它提供了一个标准化的认证体系，能够证明网络安全工程师具备一定的技术水平和实践能力。

其次，CCNA Security 认证可以帮助网络安全工程师提升自己的职业能力和竞争力，有助于在职场上获得更好的发展机会和职位。

此外，CCNA Security认证还可以增加网络安全工程师在企业中的信任度和影响力，为企业提供更加安全可靠的网络环境。

思科公司作为国际领先的网络技术服务商，其提供的CCNA Security认证具有广泛的应用和认可度。

在日益增多的网络攻击和威胁背景下，网络安全问题越来越受到关注，对网络安全工程师的需求也不断增加。

因此，持有CCNA Security认证的网络安全工程师将在就业市场上具有更大的竞争优势，有望获得更好的职业发展和薪资待遇。

总之，CCNA Security认证是思科公司提供的一项重要的网络安全认证，对于网络安全工程师来说具有重要的意义。

通信与⽹络安全之IPSECIPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。

IPSec在⽹络层对IP报⽂提供安全服务。

IPSec协议本⾝定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性，以及如何加密数据包。

使⽤IPsec，数据就可以安全地在公⽹上传输。

IPSec技术也可以实现数据传输双⽅的⾝份验证，避免⿊客伪装成⽹络中的合法⽤户攻击⽹络资源。

IPSec只能在IP⽹络中使⽤。

1.IPSEC 特性IPSec通过以下技术实现在机密性、完整性、抗抵赖和⾝份鉴别⽅⾯提⾼端到端的安全性：1）通过使⽤加密技术防⽌数据被窃听。

对称+⾮对称数字信封，⾮对称使⽤DH2）通过数据完整性验证防⽌数据被破坏、篡改。

HMAC 哈希算法3）通过认证机制实现通信双⽅⾝份确认，来防⽌通信数据被截获和回放。

随机数+IV+数字信封IPSec技术还定义了：何种流量需要被保护。

使⽤ACL数据被保护的机制。

使⽤AH、ESP协议数据的封装过程。

使⽤DH 算法进⾏交换2.IPSEC和IKE的关系IKE（Internet Key Exchange）为IPSec提供了⾃动协商交换密钥、建⽴安全联盟的服务，能够简化IPSec的使⽤和管理，⼤⼤简化IPSec的配置和维护⼯作。

IKE是UDP之上的⼀个应⽤层协议，端⼝号500，是IPSEC的信令协议。

IKE为IPSEC协商建⽴安全联盟，并把建⽴的参数及⽣成的密钥交给IPSEC。

IPSEC使⽤IKE建⽴的安全联盟对IP报⽂加密或验证处理。

IPSEC处理做为IP层的⼀部分，在IP层对报⽂进⾏处理。

AH协议和ESP协议有⾃⼰的协议号，分别是51和50。

3.IPSec两种⼯作模式3.1.传输模式传输（transport）：只是传输层数据被⽤来计算AH或ESP头，AH或ESP头和被加密的传输层数据被放置在原IP包头后⾯。

（数据包，根据OSI七层模型，⼀层层封装，从最外层依次为MAC-IP-TCP/UDP-数据）传输模式⼀个最显著的特点就是：在整个IPSec的传输过程中，IP包头并没有被封装进去，这就意味着从源端到⽬的端数据始终使⽤原有的IP地址进⾏通信。

Cisco网络方案1. 简介Cisco是全球领先的网络设备和解决方案提供商，为企业和个人用户提供各种网络产品和服务。

在本文档中，我们将介绍基于Cisco网络设备和解决方案的网络方案，包括网络设计、部署和管理等方面的内容。

2. 网络设计2.1 网络拓扑在设计Cisco网络方案时，首先需要确定网络拓扑结构。

网络拓扑通常采用分层的形式，包括核心层、汇聚层和接入层。

核心层负责高速数据传输和路由功能，汇聚层连接核心层和接入层，负责聚合流量和服务分发，接入层则连接终端设备。

2.2 设备选择根据需求和预算，选择适合的Cisco设备进行网络设计。

常用的设备包括交换机、路由器、防火墙等。

交换机用于局域网内设备的连接，路由器用于不同子网之间的通信，防火墙用于网络安全保护。

2.3 IP地址规划在网络设计中，合理规划IP地址是非常重要的一步。

根据网络规模和需求，选择合适的IP地址段和子网掩码，划分子网，并为每个子网分配IP地址。

3. 网络部署3.1 硬件配置在网络部署过程中，需要对Cisco设备进行硬件配置。

这包括设置设备的基本参数，如IP地址、子网掩码、默认网关等，以及启用相应的网络服务，如SSH、SNMP等。

3.2 VLAN配置VLAN（Virtual Local Area Network）是一种虚拟的局域网技术，能够将网络划分为不同的虚拟网络。

在网络部署过程中，可以使用VLAN将网络分割为不同的虚拟网络，提高网络性能和安全性。

3.3 路由配置路由配置是网络部署中非常重要的一步。

需要配置路由器的路由表，设置路由器之间的路由协议，实现数据的转发和路由选择。

3.4 安全配置网络安全是网络部署中不可忽视的一部分。

可以通过配置防火墙、访问控制列表（ACL）等措施保护网络安全，限制非授权访问和网络攻击。

4. 网络管理4.1 设备监控通过设备监控，可以实时监测网络设备的状态和性能。

Cisco提供了各种监控工具，如Cisco Prime Infrastructure，可用于集中管理和监控网络设备，提供实时的网络性能报告和故障诊断。

cisco网络安全认证Cisco网络安全认证（Cisco Certified Network Associate Security，简称CCNA Security）是由思科官方提供的网络安全认证。

该认证是针对拥有一定的网络知识和技能的网络工程师、网络管理员和网络技术支持人员设计的，旨在通过培养掌握网络安全基本概念、了解安全技术和解决方案的专业人才，提高网络安全防护能力。

CCNA Security认证的主要内容包括网络安全原则、安全威胁和防范措施、安全设备和技术、安全策略和管理等方面的知识。

认证的核心内容包括：1. 网络安全基础知识：了解网络安全的基本概念、原则和方法，包括网络攻击类型、安全威胁、攻击检测与防御等。

2. 安全设备和技术：掌握常用的网络安全设备和技术，如防火墙、入侵检测系统（IDS）、防病毒软件和虚拟专用网络（VPN）等。

3. 安全策略和管理：学习制定和实施有效的安全策略，包括安全策略制定、安全策略的执行和管理、安全事件和风险管理等。

CCNA Security认证考试采用单项选择题和实验题相结合的形式，考察考生在实际应用中对安全技术的理解和应用能力。

除了通过考试，考生还需要参加实验室实践，验证和应用所学的知识和技能。

获得CCNA Security认证后，考生能够独立进行网络安全的评估和保护工作，具备构建安全网络的能力，能够掌握安全配置、安全策略和安全管理等技能，提高网络的安全性，保护网络免受各种网络攻击。

总结起来，CCNA Security认证是一种权威的网络安全认证，对于网络工程师、网络管理员和网络技术支持人员来说，具有重要的意义。

除了拥有CCNA Security认证，还可以进一步深入学习和研究网络安全领域的知识，从事网络安全相关的工作，为企业和组织提供更加安全可靠的网络环境。

思科自防御网络安全综合方案典型配置方案简介：组建安全可靠的总部和分支LAN和WAN；总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；需要提供IPSEC/SSL VPN接入；整体方案要便于升级，利于投资保护。

详细内容：1. 用户需求分析客户规模：∙客户有一个总部，具有一定规模的园区网络；∙一个分支机构，约有20－50名员工；∙用户有很多移动办公用户客户需求：∙组建安全可靠的总部和分支LAN和WAN；∙总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；∙需要提供IPSEC/SSLVPN接入；∙在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统；∙配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动；∙网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击；∙图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击；∙整体方案要便于升级，利于投资保护；思科建议方案：∙部署边界安全：思科IOS 路由器及ASA 防火墙，集成SSL/IPSec VPN；∙安全域划分：思科FWSM防火墙模块与交换机VRF及VLAN特性配合，完整实现安全域划分和实现业务系统之间的可控互访；∙部署终端安全：思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成；∙安全检测：思科IPS42XX、IDSM、ASA AIP模块，IOS IPS均可以实现安全检测并且与网络设备进行联动；∙安全认证及授权：部署思科ACS 4.0认证服务器；∙安全管理：思科安全管理系统MARS，配合安全配置管理系统CSM使用。

2. 思科建议方案设计图3. 思科建议方案总体配置概述∙安全和智能的总部与分支网络o LAN：总部，核心层思科Cat6500；分布层Cat4500；接入层Cat3560和CE500交换机，提供公司总部园区网络用户的接入；分支可以采用思科ASA5505 防火墙内嵌的8FE接口连接用户，同时其头两个LAN端口支持POE以太网供电，可以连接AP及IP电话等设备使用，并且ASA5505留有扩展槽为便于以后对于业务模块的支持。

Cisco路由器安全配置基线⒈概述本文档旨在提供Cisco路由器安全配置的基线标准，以保护网络的机密性、完整性和可用性。

对于每个配置项，应根据特定环境和安全需求进行定制。

本基线涵盖以下方面：物理安全、设备访问控制、身份验证和授权、安全传输、网络服务安全等。

⒉物理安全⑴硬件保护：在安全区域使用防盗门、钢制机箱等硬件保护措施，防止物理攻击。

⑵设备位置：将路由器放置在无人可及的安全位置，避免未经授权的物理访问。

⑶可视性控制：使用物理隔离或安全封闭设备，限制路由器对外界的可视性。

⒊设备访问控制⑴控制台访问：配置访问密码，并限制只允许特定IP地质通过控制台进行访问。

⑵远程访问：配置SSH或加密的Telnet，并限制只允许特定IP地质通过远程访问进行管理。

⑶ Telnet服务禁用：禁用非加密的Telnet服务，避免明文传输敏感信息。

⑷控制台超时：设置超时时间，自动登出空闲控制台连接。

⒋身份验证和授权⑴强密码策略：要求使用至少8位包含大小写字母、数字和特殊字符的复杂密码。

⑵数字证书：配置数字证书用于身份验证和加密通信。

⑶ AAA认证：配置AAA（身份验证、授权和记账）服务，以集中管理身份验证和授权策略。

⑷账号锁定：限制登录尝试次数，并自动锁定账号以防止暴力。

⒌安全传输⑴强制使用加密协议：禁用不安全的协议，例如明文HTTP，强制使用HTTPS进行安全的Web管理。

⑵ SSL/TLS配置：配置合适的加密算法和密码套件，并定期更新SSL/TLS证书。

⑶ IPsec VPN：配置基于IPsec的VPN以保护远程访问和站点之间的安全通信。

⒍网络服务安全⑴不必要的服务禁用：禁用不必要的网络服务，如Telnet、FTP等，以减少攻击面。

⑵网络时间协议（NTP）：配置合法的NTP服务器，并限制只允许特定IP地质进行时间同步。

⑶ SNMP安全：配置SNMPv3，并使用强密码和访问控制列表（ACL）限制对SNMP服务的访问。

附注：附件A：示例配置文件附件B：网络拓扑图法律名词及注释：⒈物理安全：指对设备进行实体层面上的保护，以防止未经授权的物理访问和攻击。

总体介绍总体上分为 CDO和MFG两部分：CDO：主要是指研发方面的团队，下面会有不同TG（TechiniaclGroup），每个TG下面会有不同的BU（例如 DCBU、ISBU、CableBU等）；MFG：主要是指产品制造和引进，下面也会有不同的BU，也叫DCBU、ISBU。

为何每个部分的BU会重名呢？是由于MFG负责制造，CDO负责研发，下面设立同样的BU名字，以便更好的配合和支持。

一，VCN BU（IPTV，流媒体服务器，Solution）主要产品：两种流媒体服务器（内容存储，推流服务器）VQE(Video Quality )改善推流的可靠性，提高视频质量目前open的3个职位：1:BD Manager; 2:Product Manager, 3:TEM(技术市场工程师)目前这个部门在中国市场上成立不久，产品也没有占领市场主要份额；IPTV是跨行业的，包括电信行业和媒体行业，所以IPTV的销售策略和方式每个国家都不一样。

CISCO在寻求本地市场的游戏规则。

CISCO在国内最大的竞争对手是UT思达康，其次是中兴，华为。

二，SI BU主要产品：1，语音通讯，为把传统的PSDN网络转换成IP网提供语音，增值服务。

2，软交换，把传统电路交换的协议转化成IP网络协议。

3，系列（信列）网关，语音通信网络与网络之间协议的转换（包括宽带，安全以及信号质量等）主要工作：专注于软件开发，测试工作。

设计到嵌入式操作系统，Unix,Linux操作系统。

竞争对手：中兴，华为，青岛一些企业。

三，ESIG BU（2K/3K Switch）BU介绍：这是CISCO上海研发中心单独的BU，也是人员最多的BU（约占公司15%—20%）9个Fountion:8,Feature test9,PM5,PhyQual6,Power test7,EDV4,Diags1,HW Design3,ECAD2,Mechanical Design技能方面的需求：1：2，3层电路设计2：设计，制作设备外壳（要求有多层板的工作经验）3：设计，改进测试流程标准4：IEEE 10/100/100 front , end test(使候选人加分的几个技能点：serdes,cable Diags,Hi energy,PDE)5：In system DC-DC test6： 环境（如：温度）下的测试（使候选人加分的几个技能点：Script development,SID test,BERT）7：测试交换上面新的feature(功能特征)（有CCNA，NP，IE的人优先考虑）四、ISBU：主要是做企业级的交换机，07年7月份成立，按照美国的架构组建。