思科(Cisco)IOS 12.3特性分析[ZT]
生活随笔
收集整理的這篇文章主要介紹了
思科(Cisco)IOS 12.3特性分析[ZT]
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
cisco的ios 12.3和其子版本不僅包含增加的基本變化和漏洞修復(fù)。一起來近距離體驗(yàn)12個(gè)最有用的變化,包括網(wǎng)絡(luò)準(zhǔn)入控制(nac),最優(yōu)邊緣路由,動(dòng)態(tài)多點(diǎn)***,ipsec全狀態(tài)故障恢復(fù)等。
可能會(huì)有少數(shù)網(wǎng)絡(luò)工程師迫不及待地等著升級cisco路由器的最新軟件并且仔細(xì)瀏覽ios版本說明。然而,我懷疑對大多數(shù)人來說,“研究并升級到最新的路由器ios”就像“整理文件柜”和“打掃儲(chǔ)藏室”一樣。結(jié)果是我愿意打賭,多數(shù)人沒有將路由器升級到最新版本的cisco ios 12.3。
ios 12.3的第一版是在2003年發(fā)布。在這之后,cisco開發(fā)了許多包含一些非常有用特性的輔助版本。所以,無論你是否了解你正在使用的版本號,還是你已經(jīng)在12.3出現(xiàn)的時(shí)候,就進(jìn)行了升級,但卻忽略后續(xù)的版本,你都應(yīng)該密切關(guān)注這個(gè)ios版本中包括的新特性。
我將重點(diǎn)介紹ios 12.3中的一些主要特性。我不討論新的ipv6防火墻這樣的幾乎不會(huì)有人用到的特性。接下來是我認(rèn)為最重要的12個(gè)特性的列表,但是它還包括數(shù)以百計(jì)的其他特性。你會(huì)在cisco的ios 12.3文檔中發(fā)現(xiàn)更多各種不同的特性。
網(wǎng)絡(luò)準(zhǔn)入控制(nac)
cisco的nac運(yùn)行在cisco路由器上(運(yùn)行在交換機(jī)上的nac將很快出現(xiàn)),要使用nac,你還需要在網(wǎng)絡(luò)中的每臺(tái)pc上安裝客戶端軟件(cisco認(rèn)證代理)。網(wǎng)絡(luò)上需要有cisco安全接入控制服務(wù)器(acs)。?c能夠訪問網(wǎng)絡(luò)之前,檢測其防病毒定義版本(你也可以讓nac檢測其他軟件版本)。如果該pc沒有需要的版本,它就不能訪問網(wǎng)絡(luò),取而代之的是,它被隔離在一個(gè)專用網(wǎng)中以進(jìn)行必要的升級。微軟已經(jīng)出品了類似的產(chǎn)品,稱為網(wǎng)絡(luò)接入防護(hù)(nap)。幸運(yùn)的是,這兩家公司已經(jīng)聯(lián)手嘗試使他們具有競爭性的產(chǎn)品相互兼容。
***防護(hù)系統(tǒng)
在ios 12.0(5)t中,cisco引入了一個(gè)***檢測系統(tǒng)(ids)。該版本只提供59個(gè)特征來識別***。這些特征不能升級。因此,隨著新的***類型的出現(xiàn),ios不再有保護(hù)作用。在ios 12.3(11)t中,cisco提供包括118條特征的***防護(hù)系統(tǒng)(ips),新的ips中最重要的不同,在于它允許用戶隨著新的***手段被發(fā)現(xiàn)而增加新的特征。它通過使用一個(gè)位于路由器閃存上的特征定義文件(sdf)來實(shí)現(xiàn)這一點(diǎn)。用戶可以提交新的ips警報(bào)并且查看cisco***防護(hù)警報(bào)中心上現(xiàn)有的警報(bào)。當(dāng)通過路由器的一個(gè)數(shù)據(jù)包符合某個(gè)特征時(shí),路由器可以被配置為向網(wǎng)絡(luò)管理員報(bào)警或者丟棄該數(shù)據(jù)包并發(fā)送一個(gè)警報(bào)。cisco宣稱新的設(shè)計(jì),不會(huì)影響路由器的性能。
最優(yōu)邊緣路由(oer)
oer是一個(gè)允許在廣域網(wǎng)邊緣進(jìn)行負(fù)載均衡的新特性。在我的公司,我擁有兩條連接到internet的運(yùn)行bgp最優(yōu)路由的t1線路。盡管它確實(shí)給我們帶來了冗余,但對負(fù)載均衡卻無所作為。這是因?yàn)橐粋€(gè)提供商是tier 1,而另一個(gè)是tier 2。tier 1提供商幾乎總是提供更短的路徑而且?guī)缀跛辛髁客ㄟ^該線路。我們曾嘗試使用權(quán)重和多出口標(biāo)識(med)進(jìn)行負(fù)載均衡,但這并不總是有效。oer應(yīng)該能夠解決這類負(fù)載均衡問題。通過oer,你可以定義延遲策略,吞吐量和鏈路開銷參數(shù)。路由器使用該策略決定如何平衡通過你的多個(gè)廣域網(wǎng)鏈路的負(fù)載。這些基本上都是internet連接,但是也可能是其他類型的廣域網(wǎng)連接。oer不僅支持靜態(tài)路由,還支持bgp協(xié)議。所有這些可以在路由器的ios上進(jìn)行配置。如果你想有一個(gè)圖形界面以控制更復(fù)雜的oer環(huán)境,你可以購買一個(gè)基于linux的附加oer產(chǎn)品,稱為oer主控制器引擎。
透明防火墻
假設(shè)你想在兩個(gè)網(wǎng)絡(luò)之間增加一個(gè)防火墻。通常,和一個(gè)路由器類似,防火墻的每個(gè)接口必須對應(yīng)不同的網(wǎng)絡(luò)。這聽起來像一個(gè)大的網(wǎng)絡(luò)變更,是嗎?或許不必再如此復(fù)雜。在ios 12.3(7)t中,cisco引入了透明防火墻。工作在第二層的透明防火墻的好處是它可以用最小的配置增加到現(xiàn)有網(wǎng)絡(luò)中,而且它向該網(wǎng)絡(luò)提供防火墻安全。實(shí)際上,你可以在運(yùn)行第三層防火墻特性的同一個(gè)路由器運(yùn)行第二層透明防火墻。在其更基礎(chǔ)的形式中,透明防火墻以這樣的方式工作:你創(chuàng)建一個(gè)橋組,將你的接口放進(jìn)去,在某個(gè)接口上啟用“ip inspect”建立一個(gè)將被應(yīng)用在其他接口上的訪問列表,那么,你的透明防火墻就做好了。
熱升級
熱升級允許一個(gè)運(yùn)行中的路由器查看ios鏡像,解壓它并直接啟動(dòng)它。這樣做使得不必關(guān)閉路由器,回到rommon,導(dǎo)入鏡像并解壓鏡像。cisco認(rèn)為這是對在ios 12.3(2)t中引入的熱重啟特性的補(bǔ)充,并使將路由器重啟的時(shí)間從四分鐘減少到兩分鐘。
企業(yè)版自動(dòng)qos
autoqos(自動(dòng)服務(wù)質(zhì)量)是一個(gè)新特性,它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的流量類型以及接口速度,然后根據(jù)最優(yōu)方法為該流量配置合適的網(wǎng)絡(luò)質(zhì)量。該特性最初是為廣域網(wǎng)上的音頻和視頻質(zhì)量而設(shè)計(jì),但是它也可以用在許多其他事情上。autoqos可以在幾分鐘內(nèi)完成可能需要一位網(wǎng)絡(luò)專家?guī)仔r(shí)完成的事情。缺點(diǎn)是autoqos并不完美,它對網(wǎng)絡(luò)中的任何可能的改變不會(huì)做任何反應(yīng),而且一旦它被配置,你仍需要一位網(wǎng)絡(luò)專家分析其結(jié)果并確保其正常運(yùn)行。
自動(dòng)安全
自動(dòng)安全(autosecure)分析路由器的安全設(shè)置并且可以為你進(jìn)行修改。
callmanager express(cme)和survivable remote site telephony(srst)
callmanager express(cme)已經(jīng)從允許路由器作為一個(gè)非常有限的,單機(jī)的,ip層語音(voip)電話系統(tǒng)進(jìn)化到具有良好性能的(路由器上)中型企業(yè)(sme)電話系統(tǒng)。關(guān)于遠(yuǎn)程電話應(yīng)急呼叫(srst),勾勒出一個(gè)擁有中央管理的callmanager(cisco voip電話系統(tǒng)),具有許多遠(yuǎn)程辦公地點(diǎn)的大型企業(yè)。在那些遠(yuǎn)程地點(diǎn),路由器會(huì)配置srst,所以如果到中央callmanager的廣域網(wǎng)連接丟失,啟用srst的路由器可能向遠(yuǎn)程電話提供有限的呼叫特性。
動(dòng)態(tài)多點(diǎn)***(dm***)
從技術(shù)上講,這個(gè)特性出現(xiàn)在12.2(13)t中,但是它太酷了,所以我想介紹一下它。dm***允許路由器根據(jù)需要在internet上動(dòng)態(tài)地建立雙方的***隧道。然而更方便的是,這些隧道只需要非常簡單的配置。在過去,要建立一個(gè)完全網(wǎng)狀連結(jié)的***網(wǎng)絡(luò),必須對每個(gè)遠(yuǎn)程站點(diǎn)的路由器(或***連接器)進(jìn)行相當(dāng)多的配置。隨著遠(yuǎn)程站點(diǎn)的增多,同時(shí)增長的***隧道成為了麻煩事,而且所有配置難以處理。有了dm***,一個(gè)完全網(wǎng)狀連結(jié)的***網(wǎng)絡(luò)可以伸縮,而且***隧道只在需要時(shí)建立。
ipsec全狀態(tài)故障恢復(fù)
這個(gè)特性確實(shí)就像它的名字所說的那樣。你有兩個(gè)路由器,它們都有ipsec隧道,以熱備用路由協(xié)議(hsrp)連接到lan。如果一臺(tái)路由器發(fā)生故障,在計(jì)劃的或非計(jì)劃的情況下,備份路由器會(huì)取代它而且ipsec隧道永遠(yuǎn)不會(huì)被終止。盡管這項(xiàng)技術(shù)可以在高端***連接器中見到,但是將它免費(fèi)地包括在路由器的ios中是非常好的意外收獲。
基于網(wǎng)絡(luò)的應(yīng)用識別(nbar)
多數(shù)路由器只是考慮第三層的通信。通過nbar,路由器可以縱觀四到七層。這意味著路由器可以識別應(yīng)用。一旦它識別出應(yīng)用,它就可以采取某些措施以確保該應(yīng)用獲得更高的優(yōu)先權(quán),丟棄來自其他應(yīng)用的數(shù)據(jù)包,或采取其他措施。nbar已經(jīng)出現(xiàn)在ios 12.0中,但它只能識別少量的應(yīng)用。ios 12.3中不同以往的是,nbar可以識別更多的應(yīng)用而且可以使用pdlm(數(shù)據(jù)包描述語言模塊)動(dòng)態(tài)地增加新的應(yīng)用。cisco定期發(fā)布新應(yīng)用的新pdlm。你可以在他們的pdlm web頁面上找到該列表(需要有效的cco登錄)。
cisco安全設(shè)備管理器(sdm)
sdm是路由器的一個(gè)免費(fèi)java管理工具。它需要ios 12.2或12.3,這依賴于你的路由器模式。
最后的分析
我討厭聽上去像tv商業(yè)中的那些銷售員在推銷其服務(wù)一樣,但是這里給出一些你需要知道的事情:
升級你的ios需要你要么在cisco smartnet maintenance計(jì)劃之內(nèi),要么從cisco零售商那里購買最新的ios。
這里提到的一些特性只在某些版本的ios中可用。有些ios版本可能由于cpu,ram和閃存要求而并非適合所有路由器。訪問cisco ios upgrade
planner(需要有效的cco登錄)以查看你的路由器支持的最新版本ios。一旦了解你的路由器支持的最新ios,你就可以知道你想要的特性是否包括在該ios中。
或許在ios 12.3中的某些新特性可以使你的生活更輕松或使得你的網(wǎng)絡(luò)更安全。我為我的核心internet路由器定購了額外的閃存來進(jìn)行升級和獲得oer路由。我希望你能像我一樣驚奇地發(fā)現(xiàn)一些cisco ios的新特性。升級你的cisco路由器可能是一件相當(dāng)繁瑣的事情,但是新特性總是物有所值的。
可能會(huì)有少數(shù)網(wǎng)絡(luò)工程師迫不及待地等著升級cisco路由器的最新軟件并且仔細(xì)瀏覽ios版本說明。然而,我懷疑對大多數(shù)人來說,“研究并升級到最新的路由器ios”就像“整理文件柜”和“打掃儲(chǔ)藏室”一樣。結(jié)果是我愿意打賭,多數(shù)人沒有將路由器升級到最新版本的cisco ios 12.3。
ios 12.3的第一版是在2003年發(fā)布。在這之后,cisco開發(fā)了許多包含一些非常有用特性的輔助版本。所以,無論你是否了解你正在使用的版本號,還是你已經(jīng)在12.3出現(xiàn)的時(shí)候,就進(jìn)行了升級,但卻忽略后續(xù)的版本,你都應(yīng)該密切關(guān)注這個(gè)ios版本中包括的新特性。
我將重點(diǎn)介紹ios 12.3中的一些主要特性。我不討論新的ipv6防火墻這樣的幾乎不會(huì)有人用到的特性。接下來是我認(rèn)為最重要的12個(gè)特性的列表,但是它還包括數(shù)以百計(jì)的其他特性。你會(huì)在cisco的ios 12.3文檔中發(fā)現(xiàn)更多各種不同的特性。
網(wǎng)絡(luò)準(zhǔn)入控制(nac)
cisco的nac運(yùn)行在cisco路由器上(運(yùn)行在交換機(jī)上的nac將很快出現(xiàn)),要使用nac,你還需要在網(wǎng)絡(luò)中的每臺(tái)pc上安裝客戶端軟件(cisco認(rèn)證代理)。網(wǎng)絡(luò)上需要有cisco安全接入控制服務(wù)器(acs)。?c能夠訪問網(wǎng)絡(luò)之前,檢測其防病毒定義版本(你也可以讓nac檢測其他軟件版本)。如果該pc沒有需要的版本,它就不能訪問網(wǎng)絡(luò),取而代之的是,它被隔離在一個(gè)專用網(wǎng)中以進(jìn)行必要的升級。微軟已經(jīng)出品了類似的產(chǎn)品,稱為網(wǎng)絡(luò)接入防護(hù)(nap)。幸運(yùn)的是,這兩家公司已經(jīng)聯(lián)手嘗試使他們具有競爭性的產(chǎn)品相互兼容。
***防護(hù)系統(tǒng)
在ios 12.0(5)t中,cisco引入了一個(gè)***檢測系統(tǒng)(ids)。該版本只提供59個(gè)特征來識別***。這些特征不能升級。因此,隨著新的***類型的出現(xiàn),ios不再有保護(hù)作用。在ios 12.3(11)t中,cisco提供包括118條特征的***防護(hù)系統(tǒng)(ips),新的ips中最重要的不同,在于它允許用戶隨著新的***手段被發(fā)現(xiàn)而增加新的特征。它通過使用一個(gè)位于路由器閃存上的特征定義文件(sdf)來實(shí)現(xiàn)這一點(diǎn)。用戶可以提交新的ips警報(bào)并且查看cisco***防護(hù)警報(bào)中心上現(xiàn)有的警報(bào)。當(dāng)通過路由器的一個(gè)數(shù)據(jù)包符合某個(gè)特征時(shí),路由器可以被配置為向網(wǎng)絡(luò)管理員報(bào)警或者丟棄該數(shù)據(jù)包并發(fā)送一個(gè)警報(bào)。cisco宣稱新的設(shè)計(jì),不會(huì)影響路由器的性能。
最優(yōu)邊緣路由(oer)
oer是一個(gè)允許在廣域網(wǎng)邊緣進(jìn)行負(fù)載均衡的新特性。在我的公司,我擁有兩條連接到internet的運(yùn)行bgp最優(yōu)路由的t1線路。盡管它確實(shí)給我們帶來了冗余,但對負(fù)載均衡卻無所作為。這是因?yàn)橐粋€(gè)提供商是tier 1,而另一個(gè)是tier 2。tier 1提供商幾乎總是提供更短的路徑而且?guī)缀跛辛髁客ㄟ^該線路。我們曾嘗試使用權(quán)重和多出口標(biāo)識(med)進(jìn)行負(fù)載均衡,但這并不總是有效。oer應(yīng)該能夠解決這類負(fù)載均衡問題。通過oer,你可以定義延遲策略,吞吐量和鏈路開銷參數(shù)。路由器使用該策略決定如何平衡通過你的多個(gè)廣域網(wǎng)鏈路的負(fù)載。這些基本上都是internet連接,但是也可能是其他類型的廣域網(wǎng)連接。oer不僅支持靜態(tài)路由,還支持bgp協(xié)議。所有這些可以在路由器的ios上進(jìn)行配置。如果你想有一個(gè)圖形界面以控制更復(fù)雜的oer環(huán)境,你可以購買一個(gè)基于linux的附加oer產(chǎn)品,稱為oer主控制器引擎。
透明防火墻
假設(shè)你想在兩個(gè)網(wǎng)絡(luò)之間增加一個(gè)防火墻。通常,和一個(gè)路由器類似,防火墻的每個(gè)接口必須對應(yīng)不同的網(wǎng)絡(luò)。這聽起來像一個(gè)大的網(wǎng)絡(luò)變更,是嗎?或許不必再如此復(fù)雜。在ios 12.3(7)t中,cisco引入了透明防火墻。工作在第二層的透明防火墻的好處是它可以用最小的配置增加到現(xiàn)有網(wǎng)絡(luò)中,而且它向該網(wǎng)絡(luò)提供防火墻安全。實(shí)際上,你可以在運(yùn)行第三層防火墻特性的同一個(gè)路由器運(yùn)行第二層透明防火墻。在其更基礎(chǔ)的形式中,透明防火墻以這樣的方式工作:你創(chuàng)建一個(gè)橋組,將你的接口放進(jìn)去,在某個(gè)接口上啟用“ip inspect”建立一個(gè)將被應(yīng)用在其他接口上的訪問列表,那么,你的透明防火墻就做好了。
熱升級
熱升級允許一個(gè)運(yùn)行中的路由器查看ios鏡像,解壓它并直接啟動(dòng)它。這樣做使得不必關(guān)閉路由器,回到rommon,導(dǎo)入鏡像并解壓鏡像。cisco認(rèn)為這是對在ios 12.3(2)t中引入的熱重啟特性的補(bǔ)充,并使將路由器重啟的時(shí)間從四分鐘減少到兩分鐘。
企業(yè)版自動(dòng)qos
autoqos(自動(dòng)服務(wù)質(zhì)量)是一個(gè)新特性,它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的流量類型以及接口速度,然后根據(jù)最優(yōu)方法為該流量配置合適的網(wǎng)絡(luò)質(zhì)量。該特性最初是為廣域網(wǎng)上的音頻和視頻質(zhì)量而設(shè)計(jì),但是它也可以用在許多其他事情上。autoqos可以在幾分鐘內(nèi)完成可能需要一位網(wǎng)絡(luò)專家?guī)仔r(shí)完成的事情。缺點(diǎn)是autoqos并不完美,它對網(wǎng)絡(luò)中的任何可能的改變不會(huì)做任何反應(yīng),而且一旦它被配置,你仍需要一位網(wǎng)絡(luò)專家分析其結(jié)果并確保其正常運(yùn)行。
自動(dòng)安全
自動(dòng)安全(autosecure)分析路由器的安全設(shè)置并且可以為你進(jìn)行修改。
callmanager express(cme)和survivable remote site telephony(srst)
callmanager express(cme)已經(jīng)從允許路由器作為一個(gè)非常有限的,單機(jī)的,ip層語音(voip)電話系統(tǒng)進(jìn)化到具有良好性能的(路由器上)中型企業(yè)(sme)電話系統(tǒng)。關(guān)于遠(yuǎn)程電話應(yīng)急呼叫(srst),勾勒出一個(gè)擁有中央管理的callmanager(cisco voip電話系統(tǒng)),具有許多遠(yuǎn)程辦公地點(diǎn)的大型企業(yè)。在那些遠(yuǎn)程地點(diǎn),路由器會(huì)配置srst,所以如果到中央callmanager的廣域網(wǎng)連接丟失,啟用srst的路由器可能向遠(yuǎn)程電話提供有限的呼叫特性。
動(dòng)態(tài)多點(diǎn)***(dm***)
從技術(shù)上講,這個(gè)特性出現(xiàn)在12.2(13)t中,但是它太酷了,所以我想介紹一下它。dm***允許路由器根據(jù)需要在internet上動(dòng)態(tài)地建立雙方的***隧道。然而更方便的是,這些隧道只需要非常簡單的配置。在過去,要建立一個(gè)完全網(wǎng)狀連結(jié)的***網(wǎng)絡(luò),必須對每個(gè)遠(yuǎn)程站點(diǎn)的路由器(或***連接器)進(jìn)行相當(dāng)多的配置。隨著遠(yuǎn)程站點(diǎn)的增多,同時(shí)增長的***隧道成為了麻煩事,而且所有配置難以處理。有了dm***,一個(gè)完全網(wǎng)狀連結(jié)的***網(wǎng)絡(luò)可以伸縮,而且***隧道只在需要時(shí)建立。
ipsec全狀態(tài)故障恢復(fù)
這個(gè)特性確實(shí)就像它的名字所說的那樣。你有兩個(gè)路由器,它們都有ipsec隧道,以熱備用路由協(xié)議(hsrp)連接到lan。如果一臺(tái)路由器發(fā)生故障,在計(jì)劃的或非計(jì)劃的情況下,備份路由器會(huì)取代它而且ipsec隧道永遠(yuǎn)不會(huì)被終止。盡管這項(xiàng)技術(shù)可以在高端***連接器中見到,但是將它免費(fèi)地包括在路由器的ios中是非常好的意外收獲。
基于網(wǎng)絡(luò)的應(yīng)用識別(nbar)
多數(shù)路由器只是考慮第三層的通信。通過nbar,路由器可以縱觀四到七層。這意味著路由器可以識別應(yīng)用。一旦它識別出應(yīng)用,它就可以采取某些措施以確保該應(yīng)用獲得更高的優(yōu)先權(quán),丟棄來自其他應(yīng)用的數(shù)據(jù)包,或采取其他措施。nbar已經(jīng)出現(xiàn)在ios 12.0中,但它只能識別少量的應(yīng)用。ios 12.3中不同以往的是,nbar可以識別更多的應(yīng)用而且可以使用pdlm(數(shù)據(jù)包描述語言模塊)動(dòng)態(tài)地增加新的應(yīng)用。cisco定期發(fā)布新應(yīng)用的新pdlm。你可以在他們的pdlm web頁面上找到該列表(需要有效的cco登錄)。
cisco安全設(shè)備管理器(sdm)
sdm是路由器的一個(gè)免費(fèi)java管理工具。它需要ios 12.2或12.3,這依賴于你的路由器模式。
最后的分析
我討厭聽上去像tv商業(yè)中的那些銷售員在推銷其服務(wù)一樣,但是這里給出一些你需要知道的事情:
升級你的ios需要你要么在cisco smartnet maintenance計(jì)劃之內(nèi),要么從cisco零售商那里購買最新的ios。
這里提到的一些特性只在某些版本的ios中可用。有些ios版本可能由于cpu,ram和閃存要求而并非適合所有路由器。訪問cisco ios upgrade
planner(需要有效的cco登錄)以查看你的路由器支持的最新版本ios。一旦了解你的路由器支持的最新ios,你就可以知道你想要的特性是否包括在該ios中。
或許在ios 12.3中的某些新特性可以使你的生活更輕松或使得你的網(wǎng)絡(luò)更安全。我為我的核心internet路由器定購了額外的閃存來進(jìn)行升級和獲得oer路由。我希望你能像我一樣驚奇地發(fā)現(xiàn)一些cisco ios的新特性。升級你的cisco路由器可能是一件相當(dāng)繁瑣的事情,但是新特性總是物有所值的。
?
轉(zhuǎn)載于:https://blog.51cto.com/eskystar/4276
總結(jié)
以上是生活随笔為你收集整理的思科(Cisco)IOS 12.3特性分析[ZT]的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Asp.net2.0水晶报表的一些示例源
- 下一篇: vscode必备插件_10个必备的Vis