Cisco的IOS 12.3和其子版本不仅包含增加的基本变化和漏洞修复。一起来近距离体验12个最有用的变化,包括网络准入控制(NAC),最优边缘路由,动态多点VPN,IPSec全状态故障恢复等。
可能会有少数网络工程师迫不及待地等着升级Cisco路由器的最新软件并且仔细浏览IOS版本说明。然而,我怀疑对大多数人来说,“研究并升级到最新的路由器IOS”就像“整理文件柜”和“打扫储藏室”一样。结果是我愿意打赌,多数人没有将路由器升级到最新版本的Cisco IOS 12.3。
IOS 12.3的第一版是在2003年发布。在这之后,Cisco开发了许多包含一些非常有用特性的辅助版本。所以,无论你是否了解你正在使用的版本号,还是你已经在12.3出现的时候,就进行了升级,但却忽略后续的版本,你都应该密切关注这个IOS版本中包括的新特性。
我将重点介绍IOS 12.3中的一些主要特性。我不讨论新的IPv6防火墙这样的几乎不会有人用到的特性。接下来是我认为最重要的12个特性的列表,但是它还包括数以百计的其他特性。你会在Cisco的IOS 12.3
文档中发现更多各种不同的特性。
网络准入控制(NAC) Cisco的NAC运行在Cisco路由器上(运行在交换机上的NAC将很快出现),要使用NAC,你还需要在网络中的每台PC上安装客户端软件(Cisco认证代理)。网络上需要有Cisco安全接入控制服务器(ACS)。在PC能够访问网络之前,检测其防病毒定义版本(你也可以让NAC检测其他软件版本)。如果该PC没有需要的版本,它就不能访问网络,取而代之的是,它被隔离在一个专用网中以进行必要的升级。微软已经出品了类似的产品,称为网络接入防护(NAP)。幸运的是,这两家公司已经联手尝试使他们具有竞争性的产品相互兼容。
入侵防护系统 在IOS 12.0(5)T中,Cisco引入了一个入侵检测系统(IDS)。该版本只提供59个特征来识别入侵。这些特征不能升级。因此,随着新的入侵类型的出现,IOS不再有保护作用。在IOS 12.3(11)T中,Cisco提供包括118条特征的入侵防护系统(IPS),新的IPS中最重要的不同,在于它允许用户随着新的攻击手段被发现而增加新的特征。它通过使用一个位于路由器闪存上的特征定义文件(SDF)来实现这一点。用户可以提交新的IPS警报并且查看Cisco入侵防护警报中心上现有的警报。当通过路由器的一个数据包符合某个特征时,路由器可以被配置为向网络管理员报警或者丢弃该数据包并发送一个警报。Cisco宣称新的设计,不会影响路由器的性能。
最优边缘路由(OER) OER是一个允许在广域网边缘进行负载均衡的新特性。在我的公司,我拥有两条连接到Internet的运行BGP最优路由的T1线路。尽管它确实给我们带来了冗余,但对负载均衡却无所作为。这是因为一个提供商是Tier 1,而另一个是Tier 2。Tier 1提供商几乎总是提供更短的路径而且几乎所有流量通过该线路。我们曾尝试使用权重和多出口标识(MED)进行负载均衡,但这并不总是有效。OER应该能够解决这类负载均衡问题。通过OER,你可以定义延迟策略,吞吐量和链路开销参数。路由器使用该策略决定如何平衡通过你的多个广域网链路的负载。这些基本上都是Internet连接,但是也可能是其他类型的广域网连接。OER不仅支持静态路由,还支持BGP协议。所有这些可以在路由器的IOS上进行配置。如果你想有一个图形界面以控制更复杂的OER环境,你可以购买一个基于Linux的附加OER产品,称为OER主控制器引擎。
透明防火墙 假设你想在两个网络之间增加一个防火墙。通常,和一个路由器类似,防火墙的每个接口必须对应不同的网络。这听起来像一个大的网络变更,是吗?或许不必再如此复杂。在IOS 12.3(7)T中,Cisco引入了透明防火墙。工作在第二层的透明防火墙的好处是它可以用最小的配置增加到现有网络中,而且它向该网络提供防火墙安全。实际上,你可以在运行第三层防火墙特性的同一个路由器运行第二层透明防火墙。在其更基础的形式中,透明防火墙以这样的方式工作:你创建一个桥组,将你的接口放进去,在某个接口上启用“ip inspect”建立一个将被应用在其他接口上的访问列表,那么,你的透明防火墙就做好了。
热升级 热升级允许一个运行中的路由器查看IOS镜像,解压它并直接启动它。这样做使得不必关闭路由器,回到ROMMON,导入镜像并解压镜像。Cisco认为这是对在IOS 12.3(2)T中引入的热重启特性的补充,并使将路由器重启的时间从四分钟减少到两分钟。
企业版自动QoS AutoQoS(自动服务质量)是一个新特性,它能够发现网络中的流量类型以及接口速度,然后根据最优方法为该流量配置合适的网络质量。该特性最初是为广域网上的音频和视频质量而设计,但是它也可以用在许多其他事情上。AutoQoS可以在几分钟内完成可能需要一位网络专家几小时完成的事情。缺点是AutoQoS并不完美,它对网络中的任何可能的改变不会做任何反应,而且一旦它被配置,你仍需要一位网络专家分析其结果并确保其正常运行。
自动安全 自动安全(AutoSecure)分析路由器的安全设置并且可以为你进行修改。