思科(Cisco)IOS12.3新特性分析

来源:网络发布时间:2010-05-07

  Cisco的IOS 12.3和其子版本不仅包含增加的基本变化和漏洞修复。一起来近距离体验12个最有用的变化,包括网络准入控制(NAC),最优边缘路由,动态多点VPN,IPSec全状态故障恢复等。
  可能会有少数网络工程师迫不及待地等着升级Cisco路由器的最新软件并且仔细浏览IOS版本说明。然而,我怀疑对大多数人来说,“研究并升级到最新的路由器IOS”就像“整理文件柜”和“打扫储藏室”一样。结果是我愿意打赌,多数人没有将路由器升级到最新版本的Cisco IOS 12.3。
  IOS 12.3的第一版是在2003年发布。在这之后,Cisco开发了许多包含一些非常有用特性的辅助版本。所以,无论你是否了解你正在使用的版本号,还是你已经在12.3出现的时候,就进行了升级,但却忽略后续的版本,你都应该密切关注这个IOS版本中包括的新特性。
  我将重点介绍IOS 12.3中的一些主要特性。我不讨论新的IPv6防火墙这样的几乎不会有人用到的特性。接下来是我认为最重要的12个特性的列表,但是它还包括数以百计的其他特性。你会在Cisco的IOS 12.3文档中发现更多各种不同的特性。
  网络准入控制(NAC)  
  Cisco的NAC运行在Cisco路由器上(运行在交换机上的NAC将很快出现),要使用NAC,你还需要在网络中的每台PC上安装客户端软件(Cisco认证代理)。网络上需要有Cisco安全接入控制服务器(ACS)。在PC能够访问网络之前,检测其防病毒定义版本(你也可以让NAC检测其他软件版本)。如果该PC没有需要的版本,它就不能访问网络,取而代之的是,它被隔离在一个专用网中以进行必要的升级。微软已经出品了类似的产品,称为网络接入防护(NAP)。幸运的是,这两家公司已经联手尝试使他们具有竞争性的产品相互兼容。
  入侵防护系统  
  在IOS 12.0(5)T中,Cisco引入了一个入侵检测系统(IDS)。该版本只提供59个特征来识别入侵。这些特征不能升级。因此,随着新的入侵类型的出现,IOS不再有保护作用。在IOS 12.3(11)T中,Cisco提供包括118条特征的入侵防护系统(IPS),新的IPS中最重要的不同,在于它允许用户随着新的攻击手段被发现而增加新的特征。它通过使用一个位于路由器闪存上的特征定义文件(SDF)来实现这一点。用户可以提交新的IPS警报并且查看Cisco入侵防护警报中心上现有的警报。当通过路由器的一个数据包符合某个特征时,路由器可以被配置为向网络管理员报警或者丢弃该数据包并发送一个警报。Cisco宣称新的设计,不会影响路由器的性能。
  最优边缘路由(OER)  
  OER是一个允许在广域网边缘进行负载均衡的新特性。在我的公司,我拥有两条连接到Internet的运行BGP最优路由的T1线路。尽管它确实给我们带来了冗余,但对负载均衡却无所作为。这是因为一个提供商是Tier 1,而另一个是Tier 2。Tier 1提供商几乎总是提供更短的路径而且几乎所有流量通过该线路。我们曾尝试使用权重和多出口标识(MED)进行负载均衡,但这并不总是有效。OER应该能够解决这类负载均衡问题。通过OER,你可以定义延迟策略,吞吐量和链路开销参数。路由器使用该策略决定如何平衡通过你的多个广域网链路的负载。这些基本上都是Internet连接,但是也可能是其他类型的广域网连接。OER不仅支持静态路由,还支持BGP协议。所有这些可以在路由器的IOS上进行配置。如果你想有一个图形界面以控制更复杂的OER环境,你可以购买一个基于Linux的附加OER产品,称为OER主控制器引擎。
  透明防火墙  
  假设你想在两个网络之间增加一个防火墙。通常,和一个路由器类似,防火墙的每个接口必须对应不同的网络。这听起来像一个大的网络变更,是吗?或许不必再如此复杂。在IOS 12.3(7)T中,Cisco引入了透明防火墙。工作在第二层的透明防火墙的好处是它可以用最小的配置增加到现有网络中,而且它向该网络提供防火墙安全。实际上,你可以在运行第三层防火墙特性的同一个路由器运行第二层透明防火墙。在其更基础的形式中,透明防火墙以这样的方式工作:你创建一个桥组,将你的接口放进去,在某个接口上启用“ip inspect”建立一个将被应用在其他接口上的访问列表,那么,你的透明防火墙就做好了。
  热升级  
  热升级允许一个运行中的路由器查看IOS镜像,解压它并直接启动它。这样做使得不必关闭路由器,回到ROMMON,导入镜像并解压镜像。Cisco认为这是对在IOS 12.3(2)T中引入的热重启特性的补充,并使将路由器重启的时间从四分钟减少到两分钟。
  企业版自动QoS  
  AutoQoS(自动服务质量)是一个新特性,它能够发现网络中的流量类型以及接口速度,然后根据最优方法为该流量配置合适的网络质量。该特性最初是为广域网上的音频和视频质量而设计,但是它也可以用在许多其他事情上。AutoQoS可以在几分钟内完成可能需要一位网络专家几小时完成的事情。缺点是 AutoQoS并不完美,它对网络中的任何可能的改变不会做任何反应,而且一旦它被配置,你仍需要一位网络专家分析其结果并确保其正常运行。
  自动安全
  自动安全(AutoSecure)分析路由器的安全设置并且可以为你进行修改。
  CallManager Express(CME)和Survivable Remote Site Telephony(SRST)
  CallManager Express(CME)已经从允许路由器作为一个非常有限的,单机的,IP层语音(VoIP)电话系统进化到具有良好性能的(路由器上)中型企业 (SME)电话系统。关于远程电话应急呼叫(SRST),勾勒出一个拥有中央管理的CallManager(Cisco VoIP电话系统),具有许多远程办公地点的大型企业。在那些远程地点,路由器会配置SRST,所以如果到中央CallManager的广域网连接丢失,启用SRST的路由器可能向远程电话提供有限的呼叫特性。
  动态多点VPN(DMVPN)  
  从技术上讲,这个特性出现在12.2(13)T中,但是它太酷了,所以我想介绍一下它。DMVPN允许路由器根据需要在Internet上动态地建立双方的VPN隧道。然而更方便的是,这些隧道只需要非常简单的配置。在过去,要建立一个完全网状连结的VPN网络,必须对每个远程站点的路由器(或VPN连接器)进行相当多的配置。随着远程站点的增多,同时增长的VPN隧道成为了麻烦事,而且所有配置难以处理。有了DMVPN,一个完全网状连结的VPN网络可以伸缩,而且VPN隧道只在需要时建立。
  IPSec全状态故障恢复  
  这个特性确实就像它的名字所说的那样。你有两个路由器,它们都有IPSec隧道,以热备用路由协议(HSRP)连接到LAN。如果一台路由器发生故障,在计划的或非计划的情况下,备份路由器会取代它而且IPSec隧道永远不会被终止。尽管这项技术可以在高端VPN连接器中见到,但是将它免费地包括在路由器的IOS中是非常好的意外收获。
  基于网络的应用识别(NBAR) 
  多数路由器只是考虑第三层的通信。通过NBAR,路由器可以纵观四到七层。这意味着路由器可以识别应用。一旦它识别出应用,它就可以采取某些措施以确保该应用获得更高的优先权,丢弃来自其他应用的数据包,或采取其他措施。NBAR已经出现在IOS 12.0中,但它只能识别少量的应用。IOS 12.3中不同以往的是,NBAR可以识别更多的应用而且可以使用PDLM(数据包描述语言模块)动态地增加新的应用。Cisco定期发布新应用的新 PDLM。你可以在他们的PDLM Web页面上找到该列表(需要有效的CCO登录)。
  Cisco安全设备管理器(SDM)  
  SDM是路由器的一个免费Java管理工具。它需要IOS 12.2或12.3,这依赖于你的路由器模式。
  最后的分析  
  我讨厌听上去像TV商业中的那些销售员在推销其服务一样,但是这里给出一些你需要知道的事情:
  升级你的IOS需要你要么在Cisco SmartNet Maintenance计划之内,要么从Cisco零售商那里购买最新的IOS。
  这里提到的一些特性只在某些版本的IOS中可用。有些IOS版本可能由于CPU,RAM和闪存要求而并非适合所有路由器。访问Cisco IOS Upgrade
  Planner(需要有效的CCO登录)以查看你的路由器支持的最新版本IOS。一旦了解你的路由器支持的最新IOS,你就可以知道你想要的特性是否包括在该IOS中。
  或许在IOS 12.3中的某些新特性可以使你的生活更轻松或使得你的网络更安全。我为我的核心Internet路由器定购了额外的闪存来进行升级和获得OER路由。我希望你能像我一样惊奇地发现一些Cisco IOS的新特性。升级你的Cisco路由器可能是一件相当繁琐的事情,但是新特性总是物有所值的。