antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 2 Апрель , 2011

У начинающих цискарей много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

Будем обсуждать IOS для самых распространенных маршрутизаторов – ISR. Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние конечно бывают, но встречаются крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.
Начиная с этой линейки у циски появилось понятие «стабильный» образ (или main deployment), «ранние версии» (early deployment), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.
Отдельная тема: функционал IOS. Чтобы вас не запутать, давайте разделим: IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

Примечание: версий 12.5, 13 и 14 никогда не было. По легенде, 13 – несчастливое число в США, а 14 – в Японии.

ISR G1:
В версиях до 15 фичи IOSов можно было разделить на несколько типов:
1. Security. Позволяет сделать VPN разного вида, МСЭ, IPS и защитить сам маршрутизатор. Именно эти фичи разбираются в главе «Защищаемся маршрутизатором»
2. Enterprise. Позволяет обрабатывать не только IPv4, например, IPX, CLNP. Раньше только в него включали IPv6. Сейчас этот протокол есть и в Base
3. Unified communications. Всевозможные телефонные фичи, типа CUCM, gateway, gatekeeper и пр.
4. IP Base. Минимальный набор. Даже ip sla нет! Я стараюсь IP Base не оставлять.

Самих IOSов было гораздо больше, т.к. они могли сочетать разные фичи. Подробно узнать, какие возможности есть в каком IOS можно в цискином удобном фича-навигаторе.

UPD: Названия линеек IOSов 12 версии
IP Base
IP Voice
Advanced Security
SP Services
Enterprise Base
Advanced IP Services
Enterprise Services
Advanced Enterprise Services

С 15 версии возможности называются почти так же
1. Security
2. DATA
3. UC
4. Base
15 версия IOS содержит в себе ВСЕ возможности. Для ISR G1это означает, что можно закачать свежий IOS 15 версии и не бояться. Т-линейка, как и прежде, содержит в себе больше возможностей, но считается менее стабильной.

Зачем же выделять группы фич, если она все доступны? А вот зачем: в ISR G2 внедрена система лицензирования фич, примерно как на ASA. Т.е. залить в ISR G2 другой IOS и получить другой функционал, как привыкли делать в ISR G1, не получится. Нужно покупать лицензии на нужный функционал. Так cisco борется с изобилием «не совсем легальных установок» продвинутого функционала. Ведь IP BASE стоит гораздо дешевле, чем нужный bundle, а значит можно «сэкономить». И хоть формально за это можно пожурить, но если вы не покупали поддержку от cisco (SmartNet), то о факте такой замены никто не узнает.

Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для ISR G2 такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2нотификацию и ввозить на территорию РФ такие циски беспрепятственно. Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
Но если очень хочется… Недавно появилась такая возможность: на 12 лет получить «технологические лицензии» на шифрование (SecurityK9, UCk9, DATAk9). Для этого необходимо (привожу пример, проделанный коллегами с форума на 29хх):

1. IOS не NPE, т.е. без NPE в названии, т.е., например, вот такой: c2900-universalk9-mz.SPA.151-3.T.bin.
2. ИОС не ниже версий: 15.0(1)M4, 15.1(1)T2, 15.1(2)T2, 15.1(3)T.
3. Пользуясь подсказками (нажимая кнопку «?») написать что-то вроде:

license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9

и после ввода каждой из строк согласиться с EULA.
4. Сохраниться
5. Перезагрузить маршрутизатор, не пугаясь предупреждения, что до конца технологического периода осталось всего ничего: 12 лет 

Дисклаймер: пользуемся на свой страх и риск. Регуляторы возможно могут придраться, так что готовьте security action plan отката. Возможны подводные камни, о которых я не знаю. Например, один из тестировщиков решения сообщил, что после заливки лицензий и перезагрузки пропала часть команд ip inspect.

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы

 

8 комментариев “IOS для ISR. Версии, возможности, лицензии”

comment rss - Trackback

  1. Ilya:

    Нифика себе. Надо же, и на нашей улице красивая девушка прилипла руками к забору.

  2. Отличная статья, про изготовление k9 особенно интересно.

    • Честно скажу: не я придумал, никаких лавров мне не положено. Герои невидимого фронта обитают у нас на форуме информация от них. А Тимур ака Akhmetov добровольно проверил 🙂

  3. aZL:

    Коллеги, неустанно повторяю: информация по запрету ввоза k9-устройств в Россию не совсем точна. Грубо говоря, если ваш поставщик оборудования имеет «Лицензию ФСБ на право распространения шифровальных (криптографических) средств» и «Лицензию ФСБ на право технического обслуживания шифровальных (криптографических) средств», то вы как покупатель вообще не испытываете никаких проблем с покупкой оборудования, классифицированного как С-3 (содержащее строгое шифрование) — все заботы ложатся на поставщика. Есть только одно НО: вы обязаны будете заключить с этим поставщиком дополнительный договор на техническое обслуживание этого оборудования. Второй вариант: ваша компания получает вышеуказанные лицензии (что, как вы понимаете, весьма непросто) и приобретает С-3 класс самостоятельно.

  4. walday:

    А для катилистов типа 3750е подобные финты есть?

  5. […] У начинающих цискарей много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах. Будем обсуждать IOS для самых распространенных маршрутизаторов – ISR. Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Читать далее […]

    • S0s:

      >>IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

      Для младших ISR G2 88Х и 89Х есть и 12.4 и 15.Х.
      Как лицензируется на них ветка 12.4 — не знаю, не пробовал.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.