Cisco的IOS12.3和其子版本不仅包含增加的基本变化和漏洞修复。一起来近距离体验12个最有用的变化,包括网络准入控制(NAC),最优边缘路由,动态多点VPN,IPSec全状态故障恢复等。 可能会有少数网络工程师迫不及待地等着升级Cisco路由器的最新软件并且仔细浏览IOS版本说请看如下
Cisco的IOS12.3和其子版本不仅包含增加的基本变化和漏洞修复。一起来近距离体验12个最有用的变化,包括网络准入控制(NAC),最优边缘路由,动态多点VPN,IPSec全状态故障恢复等。
可能会有少数网络工程师迫不及待地等着升级Cisco路由器的最新软件并且仔细浏览IOS版本说明。然而,我怀疑对大多数人来说,“研究并升级到最新的路由器IOS”就像“整理文件柜”和“打扫储藏室”一样。结果是我愿意打赌,多数人没有将路由器升级到最新版本的CiscoIOS12.3.IOS12.3的第一版是在2003年发布。在这之后,Cisco开发了许多包含一些非常有用特性的辅助版本。所以,无论你是否了解你正在使用的版本号,还是你已经在12.3出现的时候,就进行了升级,但却忽略后续的版本,你都应该密切关注这个IOS版本中包括的新特性。
我将重点介绍IOS12.3中的一些主要特性。我不讨论新的防火墙这样的几乎不会有人用到的特性。接下来是我认为最重要的12个特性的列表,但是它还包括数以百计的其他特性。你会在Cisco的IOS12.3文档中发现更多各种不同的特性。
网络准入控制(NAC)
Cisco的NAC运行在Cisco路由器上(运行在交换机上的NAC将很快出现),要使用NAC,你还需要在网络中的每台PC上安装客户端软件(Cisco认证代理)。网络上需要有Cisco安全接入控务器(ACS)。在PC能够访问网络之前,检测其防病毒定义版本(你也可以让NAC检测其他软件版本)。如果该PC没有需要的版本,它就不能访问网络,取而代之的是,它被隔离在一个专用网中以进行必要的升级。微软已经出品了类似的产品,称为网络接入防护(NAP)。幸运的是,这两家公司已经联手尝试使他们具有竞争性的产品相互兼容。
入侵防护系统在IOS12.0(5)T中,Cisco引入了一个入侵检测系统(IDS)。该版本只提供59个特征来识别入侵。这些特征不能升级。因此,随着新的入侵类型的出现,IOS不再有作用。在IOS12.3(11)T中,Cisco提供包括118条特征的入侵防护系统(IPS),新的IPS中最重要的不同,在于它允许用户随着新的手段被发现而增加新的特征。它通过使用一个位于路由器闪存上的特征定义文件(SDF)来实现这一点。用户可以提交新的IPS警报并且查看Cisco入侵防护警报中心上现有的警报。当通过路由器的一个数据包符合某个特征时,路由器可以被配置为向网络管理员报警或者丢弃该数据包并发送一个警报。Cisco新的设计,不会影响路由器的性能。
最优边缘路由(OER)
OER是一个允许在广域网边缘进行负载均衡的新特性。在我的公司,我拥有两条连接到Internet的运行BGP最优路由的T1线路。尽管它确实给我们带来了冗余,但对负载均衡却无所作为。这是因为一个提供商是Tier1,而另一个是Tier2.Tier1提供商几乎总是提供更短的路径而且几乎所有流量通过该线路。我们曾尝试使用权重和多出口标识(MED)进行负载均衡,但这并不总是有效。OER应该能够解决这类负载均衡问题。通过OER,你可以定义延迟策略,吞吐量和链路开销参数。路由器使用该策略决定如何平衡通过你的多个广域网链路的负载。这些基本上都是Internet连接,但是也可能是其他类型的广域网连接。OER不仅支持静态路由,还支持BGP协议。所有这些可以在路由器的IOS上进行配置。如果你想有一个图形界面以控制更复杂的OER,你可以购买一个基于Linux的附加OER产品,称为OER主控制器引擎。
透明防火墙假设你想在两个网络之间增加一个防火墙。通常,和一个路由器类似,防火墙的每个接口必须对应不同的网络。这听起来像一个大的网络变更,是吗?或许不必再如此复杂。在IOS12.3(7)T中,Cisco引入了透明防火墙。工作在第二层的透明防火墙的好处是它可以用最小的配置增加到现有网络中,而且它向该网络提供防火墙安全。实际上,你可以在运行第三层防火墙特性的同一个路由器运行第二层透明防火墙。在其更基础的形式中,透明防火墙以这样的方式工作:你创建一个桥组,将你的接口放进去,在某个接口上启用“ipinspect”建立一个将被应用在其他接口上的访问列表,那么,你的透明防火墙就做好了。
热升级热升级允许一个运行中的路由器查看IOS镜像,解压它并直接启动它。这样做使得不必关闭路由器,回到ROMMON,导入镜像并解压镜像。Cisco认为这是对在IOS12.3(2)T中引入的热重启特性的补充,并使将路由器重启的时间从四分钟减少到两分钟。
查看路由器ip[NextPage]
企业版自动QoSAutoQoS(自动服务质量)是一个新特性,它能够发现网络中的流量类型以及接口速度,然后根据最优方法为该流量配置合适的网络质量。该特性最初是为广域网上的音频和视频质量而设计,但是它也可以用在许多其他事情上。AutoQoS可以在几分钟内完成可能需要一位网络专家几小时完成的事情。缺点是AutoQoS并不完美,它对网络中的任何可能的改变不会做任何反应,而且一旦它被配置,你仍需要一位网络专家分析其结果并确保其正常运行。
自动安全自动安全(AutoSecure)分析路由器的安全设置并且可以为你进行修改。
CallManagerExpress(CME)和SurvivableRemoteSiteTelephony(SRST)
CallManagerExpress(CME)已经从允许路由器作为一个非常有限的,单机的,IP层语音(VoIP)电话系统进化到具有良好性能的(路由器上)中型企业(SME)电话系统。关于远程电话应急呼叫(SRST),勾勒出一个拥有中央管理的CallManager(CiscoVoIP电话系统),具有许多远程办公地点的大型企业。在那些远程地点,路由器会配置SRST,所以如果到中央CallManager的广域网连接丢失,启用SRST的路由器可能向远程电话提供有限的呼叫特性。
动态多点VPN(DMVPN)
从技术上讲,这个特性出现在12.2(13)T中,但是它太酷了,所以我想介绍一下它。DMVPN允许路由器根据需要在Internet上动态地建立双方的VPN隧道。然而更方便的是,这些隧道只需要非常简单的配置。在过去,要建立一个完全网状连结的VPN网络,必须对每个远程站点的路由器(或VPN连接器)进行相当多的配置。随着远程站点的增多,同时增长的VPN隧道成为了麻烦事,而且所有配置难以处理。有了DMVPN,一个完全网状连结的VPN网络可以伸缩,而且VPN隧道只在需要时建立。
IPSec全状态故障恢复这个特性确实就像它的名字所说的那样。你有两个路由器,它们都有IPSec隧道,以热备用路由协议(HSRP)连接到LAN.如果一台路由器发生故障,在计划的或非计划的情况下,备份路由器会取代它而且IPSec隧道永远不会被终止。尽管这项技术可以在高端VPN连接器中见到,但是将它免费地包括在路由器的IOS中常好的意外收获。
tags:查看路由器ip