Cisco的IOS 12.3和其子版本不僅包含增加的基本變化和漏洞修復(fù)。一起來近距離體驗(yàn)12個(gè)最有用的變化,包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC),最優(yōu)邊緣路由,動(dòng)態(tài)多點(diǎn)VPN,IPSec全狀態(tài)故障恢復(fù)等。
可能會(huì)有少數(shù)網(wǎng)絡(luò)工程師迫不及待地等著升級(jí)Cisco路由器的最新軟件并且仔細(xì)瀏覽IOS版本說明。然而,我懷疑對(duì)大多數(shù)人來說,“研究并升級(jí)到最新的路由器IOS”就像“整理文件柜”和“打掃儲(chǔ)藏室”一樣。結(jié)果是我愿意打賭,多數(shù)人沒有將路由器升級(jí)到最新版本的Cisco IOS 12.3. IOS 12.3的第一版是在2003年發(fā)布。在這之后,Cisco開發(fā)了許多包含一些非常有用特性的輔助版本。所以,無論你是否了解你正在使用的版本號(hào),還是你已經(jīng)在12.3出現(xiàn)的時(shí)候,就進(jìn)行了升級(jí),但卻忽略后續(xù)的版本,你都應(yīng)該密切關(guān)注這個(gè)IOS版本中包括的新特性。
我將重點(diǎn)介紹IOS 12.3中的一些主要特性。我不討論新的IPv6防火墻這樣的幾乎不會(huì)有人用到的特性。接下來是我認(rèn)為最重要的12個(gè)特性的列表,但是它還包括數(shù)以百計(jì)的其他特性。你會(huì)在Cisco的IOS 12.3文檔中發(fā)現(xiàn)更多各種不同的特性。
網(wǎng)絡(luò)準(zhǔn)入控制(NAC)
Cisco的NAC運(yùn)行在Cisco路由器上(運(yùn)行在交換機(jī)上的NAC將很快出現(xiàn)),要使用NAC,你還需要在網(wǎng)絡(luò)中的每臺(tái)PC上安裝客戶端軟件(Cisco認(rèn)證代理)。網(wǎng)絡(luò)上需要有Cisco安全接入控制服務(wù)器(ACS)。在PC能夠訪問網(wǎng)絡(luò)之前,檢測(cè)其防病毒定義版本(你也可以讓NAC檢測(cè)其他軟件版本)。如果該P(yáng)C沒有需要的版本,它就不能訪問網(wǎng)絡(luò),取而代之的是,它被隔離在一個(gè)專用網(wǎng)中以進(jìn)行必要的升級(jí)。微軟已經(jīng)出品了類似的產(chǎn)品,稱為網(wǎng)絡(luò)接入防護(hù)(NAP)。幸運(yùn)的是,這兩家公司已經(jīng)聯(lián)手嘗試使他們具有競(jìng)爭(zhēng)性的產(chǎn)品相互兼容。
入侵防護(hù)系統(tǒng)在IOS 12.0(5)T中,Cisco引入了一個(gè)入侵檢測(cè)系統(tǒng)(IDS)。該版本只提供59個(gè)特征來識(shí)別入侵。這些特征不能升級(jí)。因此,隨著新的入侵類型的出現(xiàn),IOS不再有保護(hù)作用。在IOS 12.3(11)T中,Cisco提供包括118條特征的入侵防護(hù)系統(tǒng)(IPS),新的IPS中最重要的不同,在于它允許用戶隨著新的攻擊手段被發(fā)現(xiàn)而增加新的特征。它通過使用一個(gè)位于路由器閃存上的特征定義文件(SDF)來實(shí)現(xiàn)這一點(diǎn)。用戶可以提交新的IPS警報(bào)并且查看Cisco入侵防護(hù)警報(bào)中心上現(xiàn)有的警報(bào)。當(dāng)通過路由器的一個(gè)數(shù)據(jù)包符合某個(gè)特征時(shí),路由器可以被配置為向網(wǎng)絡(luò)管理員報(bào)警或者丟棄該數(shù)據(jù)包并發(fā)送一個(gè)警報(bào)。Cisco宣稱新的設(shè)計(jì),不會(huì)影響路由器的性能。
最優(yōu)邊緣路由(OER)
OER是一個(gè)允許在廣域網(wǎng)邊緣進(jìn)行負(fù)載均衡的新特性。在我的公司,我擁有兩條連接到Internet的運(yùn)行BGP最優(yōu)路由的T1線路。盡管它確實(shí)給我們帶來了冗余,但對(duì)負(fù)載均衡卻無所作為。這是因?yàn)橐粋€(gè)提供商是Tier 1,而另一個(gè)是Tier 2.Tier 1提供商幾乎總是提供更短的路徑而且?guī)缀跛辛髁客ㄟ^該線路。我們?cè)鴩L試使用權(quán)重和多出口標(biāo)識(shí)(MED)進(jìn)行負(fù)載均衡,但這并不總是有效。OER應(yīng)該能夠解決這類負(fù)載均衡問題。通過OER,你可以定義延遲策略,吞吐量和鏈路開銷參數(shù)。路由器使用該策略決定如何平衡通過你的多個(gè)廣域網(wǎng)鏈路的負(fù)載。這些基本上都是Internet連接,但是也可能是其他類型的廣域網(wǎng)連接。OER不僅支持靜態(tài)路由,還支持BGP協(xié)議。所有這些可以在路由器的IOS上進(jìn)行配置。如果你想有一個(gè)圖形界面以控制更復(fù)雜的OER環(huán)境,你可以購買一個(gè)基于Linux的附加OER產(chǎn)品,稱為OER主控制器引擎。
透明防火墻假設(shè)你想在兩個(gè)網(wǎng)絡(luò)之間增加一個(gè)防火墻。通常,和一個(gè)路由器類似,防火墻的每個(gè)接口必須對(duì)應(yīng)不同的網(wǎng)絡(luò)。這聽起來像一個(gè)大的網(wǎng)絡(luò)變更,是嗎?或許不必再如此復(fù)雜。在IOS 12.3(7)T中,Cisco引入了透明防火墻。工作在第二層的透明防火墻的好處是它可以用最小的配置增加到現(xiàn)有網(wǎng)絡(luò)中,而且它向該網(wǎng)絡(luò)提供防火墻安全。實(shí)際上,你可以在運(yùn)行第三層防火墻特性的同一個(gè)路由器運(yùn)行第二層透明防火墻。在其更基礎(chǔ)的形式中,透明防火墻以這樣的方式工作:你創(chuàng)建一個(gè)橋組,將你的接口放進(jìn)去,在某個(gè)接口上啟用“ip inspect”建立一個(gè)將被應(yīng)用在其他接口上的訪問列表,那么,你的透明防火墻就做好了。
熱升級(jí)熱升級(jí)允許一個(gè)運(yùn)行中的路由器查看IOS鏡像,解壓它并直接啟動(dòng)它。這樣做使得不必關(guān)閉路由器,回到ROMMON,導(dǎo)入鏡像并解壓鏡像。Cisco認(rèn)為這是對(duì)在IOS 12.3(2)T中引入的熱重啟特性的補(bǔ)充,并使將路由器重啟的時(shí)間從四分鐘減少到兩分鐘。
企業(yè)版自動(dòng)QoS AutoQoS(自動(dòng)服務(wù)質(zhì)量)是一個(gè)新特性,它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的流量類型以及接口速度,然后根據(jù)最優(yōu)方法為該流量配置合適的網(wǎng)絡(luò)質(zhì)量。該特性最初是為廣域網(wǎng)上的音頻和視頻質(zhì)量而設(shè)計(jì),但是它也可以用在許多其他事情上。AutoQoS可以在幾分鐘內(nèi)完成可能需要一位網(wǎng)絡(luò)專家?guī)仔r(shí)完成的事情。缺點(diǎn)是AutoQoS并不完美,它對(duì)網(wǎng)絡(luò)中的任何可能的改變不會(huì)做任何反應(yīng),而且一旦它被配置,你仍需要一位網(wǎng)絡(luò)專家分析其結(jié)果并確保其正常運(yùn)行。
自動(dòng)安全自動(dòng)安全(AutoSecure)分析路由器的安全設(shè)置并且可以為你進(jìn)行修改。
CallManager Express(CME)和Survivable Remote Site Telephony(SRST)
CallManager Express(CME)已經(jīng)從允許路由器作為一個(gè)非常有限的,單機(jī)的,IP層語音(VoIP)電話系統(tǒng)進(jìn)化到具有良好性能的(路由器上)中型企業(yè)(SME)電話系統(tǒng)。關(guān)于遠(yuǎn)程電話應(yīng)急呼叫(SRST),勾勒出一個(gè)擁有中央管理的CallManager(Cisco VoIP電話系統(tǒng)),具有許多遠(yuǎn)程辦公地點(diǎn)的大型企業(yè)。在那些遠(yuǎn)程地點(diǎn),路由器會(huì)配置SRST,所以如果到中央CallManager的廣域網(wǎng)連接丟失,啟用SRST的路由器可能向遠(yuǎn)程電話提供有限的呼叫特性。
動(dòng)態(tài)多點(diǎn)VPN(DMVPN)
從技術(shù)上講,這個(gè)特性出現(xiàn)在12.2(13)T中,但是它太酷了,所以我想介紹一下它。DMVPN允許路由器根據(jù)需要在Internet上動(dòng)態(tài)地建立雙方的VPN隧道。然而更方便的是,這些隧道只需要非常簡單的配置。在過去,要建立一個(gè)完全網(wǎng)狀連結(jié)的VPN網(wǎng)絡(luò),必須對(duì)每個(gè)遠(yuǎn)程站點(diǎn)的路由器(或VPN連接器)進(jìn)行相當(dāng)多的配置。隨著遠(yuǎn)程站點(diǎn)的增多,同時(shí)增長的VPN隧道成為了麻煩事,而且所有配置難以處理。有了DMVPN,一個(gè)完全網(wǎng)狀連結(jié)的VPN網(wǎng)絡(luò)可以伸縮,而且VPN隧道只在需要時(shí)建立。
IPSec全狀態(tài)故障恢復(fù)這個(gè)特性確實(shí)就像它的名字所說的那樣。你有兩個(gè)路由器,它們都有IPSec隧道,以熱備用路由協(xié)議(HSRP)連接到LAN.如果一臺(tái)路由器發(fā)生故障,在計(jì)劃的或非計(jì)劃的情況下,備份路由器會(huì)取代它而且IPSec隧道永遠(yuǎn)不會(huì)被終止。盡管這項(xiàng)技術(shù)可以在高端VPN連接器中見到,但是將它免費(fèi)地包括在路由器的IOS中是非常好的意外收獲。
基于網(wǎng)絡(luò)的應(yīng)用識(shí)別(NBAR)
多數(shù)路由器只是考慮第三層的通信。通過NBAR,路由器可以縱觀四到七層。這意味著路由器可以識(shí)別應(yīng)用。一旦它識(shí)別出應(yīng)用,它就可以采取某些措施以確保該應(yīng)用獲得更高的優(yōu)先權(quán),丟棄來自其他應(yīng)用的數(shù)據(jù)包,或采取其他措施。NBAR已經(jīng)出現(xiàn)在IOS 12.0中,但它只能識(shí)別少量的應(yīng)用。IOS 12.3中不同以往的是,NBAR可以識(shí)別更多的應(yīng)用而且可以使用PDLM(數(shù)據(jù)包描述語言模塊)動(dòng)態(tài)地增加新的應(yīng)用。Cisco定期發(fā)布新應(yīng)用的新PDLM.你可以在他們的PDLM Web頁面上找到該列表(需要有效的CCO登錄)。
Cisco安全設(shè)備管理器(SDM)
SDM是路由器的一個(gè)免費(fèi)Java管理工具。它需要IOS 12.2或12.3,這依賴于你的路由器模式。
最后的分析我討厭聽上去像TV商業(yè)中的那些銷售員在推銷其服務(wù)一樣,但是這里給出一些你需要知道的事情:升級(jí)你的IOS需要你要么在Cisco SmartNet Maintenance計(jì)劃之內(nèi),要么從Cisco零售商那里購買最新的IOS.這里提到的一些特性只在某些版本的IOS中可用。有些IOS版本可能由于CPU,RAM和閃存要求而并非適合所有路由器。訪問Cisco IOS Upgrade Planner(需要有效的CCO登錄)以查看你的路由器支持的最新版本IOS.一旦了解你的路由器支持的最新IOS,你就可以知道你想要的特性是否包括在該IOS中。
或許在IOS 12.3中的某些新特性可以使你的生活更輕松或使得你的網(wǎng)絡(luò)更安全。我為我的核心Internet路由器定購了額外的閃存來進(jìn)行升級(jí)和獲得OER路由。我希望你能像我一樣驚奇地發(fā)現(xiàn)一些Cisco IOS的新特性。升級(jí)你的Cisco路由器可能是一件相當(dāng)繁瑣的事情,但是新特性總是物有所值的。
京公網(wǎng)安備 11010502049343號(hào)