Ios ips update что это

Обновлено: 15.01.2025

Статья 2013 года, впервые опубликована на сайте учебного центра “Сетевые Технологии”. Продублирована тут для сохранения статьи (ссылка на уц не работает).

Это первая статья из серии, в которой будут рассматриваться различные полезные, на мой взгляд, возможности IOS (команды, функции и др). В этой серии каждая отдельная функция или механизм не будут объясняться подробно, будет дан только обзор возможностей и несколько примеров использования. Многие из них, вероятно, будут вам знакомы, но, надеюсь, что в каждой статье вы найдете что-то новое и полезное.

В этой статье будут рассмотрены базовые команды IOS, которые могут быть полезны всем, независимо от того, какие функции настроены на оборудовании.

Информация на сайте Cisco

По настройке оборудования Cisco достаточно много документации, как на официальном сайте, так и на других. Но бывает, что в поисках информации о конкретной команде или функции, приходится просматривать много сайтов и форумов, пока получается добраться до нужной информации. Возможно, небольшие подсказки помогут вам сократить время в следующий раз.

Cisco Feature Navigator

Возможности, которые будут рассматриваться в этой статье и следующих, или те, которые интересуют вас, могут быть доступны не во всех версиях IOS. Для того чтобы проверить доступно ли это (или любая другая функция) в конкретной модели оборудования или версии IOS, можно воспользоваться Cisco Feature Navigator (CFN).

CFN позволяет подходить к поиску с разных сторон. Вы можете найти в каких версиях IOS и для каких платформ доступна функция, или какие функции доступны в определенном IOS. Интерфейс CFN достаточно прост и понятен, так что не нуждается в особых объяснениях.

Одни из основных документов, которые могут быть полезны при настройке оборудования – это command reference и configuration guide.

Command reference – это документы на сайте Cisco, которые описывают команды. В них описан синтаксис команды, в каких случаях и для чего она используется, примеры использования, в какой версии IOS она появилась. Документы разделены по версиям IOS, так что лучше сразу искать документ соответствующий вашей версии. Пример описания команды shutdown в command reference.

Configuration guide – документы на сайте Cisco, в которых описываются различные функции, протоколы и т.п. Есть и теоретические сведения, команды и примеры настройки. Документы разделены по тематике и версиям IOS, так что лучше сразу искать документ соответствующий вашей версии. Configuration guide по настройке NAT.

Полезные команды

В этом разделе рассматриваются несколько простых, но полезных в работе с оборудованием, команд.

reload

При настройке удаленного оборудования, можно допустить ошибку в настройках, из-за которой будет потерян доступ к оборудованию. Для того чтобы подстраховаться от подобных случаев, можно воспользоваться запланированной перезагрузкой.

Если Вы планируете изменять настройки, которые могут привести к потери связи, то можно заранее указать, например, что маршрутизатор должен быть перезагружен через 20 минут:

В таком случае, если в конфигурации была допущена ошибка, то при перезагрузке маршрутизатор вернется к исходной рабочей конфигурации.

Если изменения были применены и никаких проблем не возникло, то можно отменить запланированную перезагрузку:

Аналогичным образом можно указывать точное время, когда маршрутизатор должен быть перезагружен:

show processes

Во время обычной работы с оборудованием или во время поиска неисправностей, может понадобиться информация о том, какие процессы работают на маршрутизаторе, какие из них больше всего загружают процессор.

Команда show processes отображает информацию об активных процессах. Параметры команды позволяют отобразить информацию о статистике загрузки процессора, объеме используемой памяти, и даже представить информацию в виде графиков. Далее несколько примеров использования команды.

Отображение отсортированного списка процессов:

Отображение списка процессов отсортированного по загрузке за последние 5 минут:

Графическое представление загрузки процессора:

Отображение списка процессов отсортированных по объему используемой памяти:

Подробнее о команде show processes, ее параметрах и описание значений вывода команд.

interface range и interface range macro

При работе с коммутаторами, часто возникает задача выполнить одинаковое действие с группой портов. Для этого используется команда interface range:

В команде могут быть перечислены не только порты идущие подряд:

Кроме того, если какие-то диапазоны портов используются постоянно, удобно создать для этого диапазона имя (в этом примере имя диапазона “HOSTS”) с помощью команды define interface-range:

Тогда, при дальнейших настройках этого диапазона, порты можно не перечислять, а переходить в режим настройки портов по имени:

Примечание: Не путайте задание имени диапазону со smart macros (будут рассмотрены в следующей статье). Эти функции могут использоваться вместе.

default interface

Иногда возникает необходимость обнулить настройки интерфейса. Но, если к интерфейсу применено большое количество команд, то удалять их может быть достаточно неудобно. Например, интерфейс настроен так:

Для того чтобы обнулить его настройки, можно воспользоваться командой default interface:

Эту команду можно выполнять и с диапазоном интерфейсов или используя заданное ранее имя для диапазона интерфейсов:

show control-plane host open-ports

Команда show control-plane host open-ports показывает какие TCP и UDP-порты открыты на маршрутизаторе. У нее есть некоторые ограничения: не все сервисы, использующие UDP, отображаются (RIP), и не отображаются протоколы, которые не используют TCP и UDP (например, OSPF, EIGRP).

Пример вывода команды:

Фильтрация и перенаправление вывода командной строки

Как правило, со временем конфигурация разрастается и становится все сложнее просматривать ее полностью, при поиске каких-то определенных настроек. Упростить и ускорить просмотр нужных команд может фильтрация вывода.

Вывод любой команды show или more может быть отфильтрован или перенаправлен. Доступные параметры представлены в таблице:

Для того чтобы воспользоваться указанными параметрами, надо после команды show или more поставить pipe | , а затем указать параметр и ключевые слова или выражение. Далее все примеры будут показаны на командах show. Примеры использования команды more приведены ниже.

Команда more позволяет просматривать файлы. Например:

Перенаправление вывода командной строки

Добавить вывод команды sh ip int br к файлу R1_routing.cfg:

Фильтрация вывода команд show

include

Показать строки конфигурационного файла, в которых встречается “ip nat”

Если нас интересуют только строки, которые начинаются на “ip nat”:

Если нужно вывести строки, которые начинаются на “ip nat” ИЛИ “ ip nat” (следующие | в строке используются как ИЛИ):

Вариант этого же выражения (чтобы ввести знак вопроса надо набрать комбинацию crtl-v, а затем ?):

Добавить к выводу интерфейсы, к которым применены команды ip nat inside и ip nat outside:

exclude

Исключить из вывода интерфейсы на которых не назначены IP-адреса:

Показать sh run без знаков восклицания:

section

Очень удобный фильтр, который, к сожалению, есть только на маршрутизаторах (и только некоторых коммутаторах). С помощью него можно отфильтровать раздел конфигурации.

Например, показать настройки протоколов маршрутизации:

begin

С помощью параметра begin можно показать конфигурацию начиная с какой-то строки. Для коммутаторов это может использоваться и как альтернатива параметру section.

Показать конфигурацию начиная со строки, в которой встречается “access”

Фильтрация и нумерация строк конфигурации

Иногда может быть удобно использовать отображение номеров строк при фильтрации вывода команд. Например, если вы забыли точное название route-map, конфигурацию которой хотите посмотреть, то сначала можно дать такую команду:

Теперь, когда понятно название route-map, можно, чтобы не писать его (особенно если название длинное), отфильтровать конфигурацию по номеру строки:

Поиск из поля “–More–”

В IOS есть еще один способ фильтрации, который по действию аналогичен параметру begin.

Если вывод команды достаточно длинный, то отображается только первая часть, а затем идет поле:

Если теперь набрать /выражение, то дальнейший вывод отфильтруется и ввод команды будет продолжен начиная со строки в которой встречается “выражение”.

Просмотр команды sh ip interface, а затем фильтрация начиная со строки в которой встречается 0/3:

Просмотр команды sh run, а затем фильтрация начиная со строки в которой встречается route-map в начале строки:

Работа с конфигурацией

show run

Конечно же, одна из первых вещей, которую узнает начинающий сетевик – это команда show run. Рассмотрим некоторые менее известные параметры этой команды.

Параметр all позволяет посмотреть значения по умолчанию, которые скрываются при просмотре show run:

Например, используя параметр all и фильтрацию вывода, можно посмотреть какие значения по умолчанию у таймаутов относящихся к трансляции адресов:

Параметр brief позволяет скрыть некоторую информацию, которая, как правило, не нужна при просмотре. Например, открытые ключи SSH:

Параметр linenum перед каждой строкой дописывает номер строки. Может быть полезным, например, во время общения, когда надо указать о какой команде идет речь:

Кроме того, есть несколько параметров, которые позволяют просматривать отдельные части конфигурации. Самый популярный параметр interface. Отобразить конфигурацию интерфейса fa0/1:

aliases

Многие команды просмотра информации достаточно длинны, а использовать их нужно часто. В этом случае на помощь может прийти создание alias. Их использование сокращает время настройки, и позволяет быстрее найти ошибки, при возникновении каких-то проблем.

Синтаксис команды alias:

Например, конфигурация устройств часто достаточно большая и просматривать ее полностью неудобно. Когда вы знаете, какая часть конфигурации вас интересует, можно воспользоваться фильтрами для поиска необходимых строк. Для того чтобы фильтры удобнее было использовать, можно создать для них alias.

Например, фильтры применяемые к команде show run, это поиск нужных частей в конфигурации. Можно считать, что это команда find и создать, например, такие alias:

Для наиболее часто выполняемых команд также есть смысл создать alias. Например, для команды show ip interface brief:

Для того чтобы команду можно было выполнить в одинаковом сокращенном варианте в режиме enable и в конфигурационном, надо создавать дополнительный alias:

Примеры alias для других популярных команд:

Пример задания alias для одинаковых команд в разных режимах:

Часто бывает так, что при выполнении команды просмотра из конфигурационных подрежимов, забывают написать “do”.

Можно создать alias в нужных подрежимах, для того чтобы можно было писать “sh” вместо “do sh” (конечно подрежимов очень много, но создание такого alias для основных из них, может быть вполне достаточным):

Далее еще несколько вариантов alias.

Отображение команды sh ip route без шапки с расшифровкой:

Соседи CDP с IP-адресами в кратком виде:

diff для Cisco

При настройке оборудования бывает, что посреди процесса настройки вас отвлекают. По возвращению вы не помните, что уже успели сделать, а если сессия завершилась и истории перед глазами нет, то сложно вспомнить какие изменения вы внесли.

В этом может помочь возможность сравнения файлов, которая появилась благодаря функции archive. Функция archive используется для автоматизации сохранения конфигурации. Она будет рассмотрена в одной из следующих статей. А сейчас мы воспользуемся только возможностью сравнения файлов.

Например, для того чтобы сравнить стартовую и текущую конфигурации, надо дать такую команду: show archive config differences nvram:startup-config system:running-config

Пример выполнения команды:

Так как команда достаточно длинная, то лучше создать для нее alias:

Аналогичным образом можно сравнивать не только текущую и стартовую конфигурации, но и другие файлы:

Заключение

В этой статье были рассмотрены: несколько полезных команд, фильтрация вывода команд в IOS, и подсказки по поиску нужной документации.

В следующих статьях будут рассмотрены более продвинутые возможности IOS, в том числе функции, которые позволяют автоматизировать выполнение различных действий и создавать свои собственные сценарии.

Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответсвующий функционал.

Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке.

«Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.

Немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.

Первая система IDS (Intrusion Detection System) была внедрена на маршрутизаторах с IOS 12.2.8T с firewall feature set. Тогда это были 26ХХ и 36ХХ маршрутизаторы. Система представляла собой несколько десятков (максимум 105) сигнатур. Их можно было только отключить или задать работу не для всего трафика.

Эта система включалась командами

ip audit name IDS attack action
ip audit name IDS info action

int f0/0
ip audit IDS

Это была вещь в себе. Ни гибкой настройки, ни апдейтов, ни понятия о том, что же там в сигнатурах.

Следующий шаг был сделан с внедрением отдельного файла signature definition. Это спец.файл загружался на маршрутизатор, на него указывали в настройке, в нем хранились все сигнатуры и их параметры. Настраивалась эта конструкция так:

ip ips sdf location flash:

файл подбирается исходя из количества оперативной памяти на маршрутизаторе. Самый большой файл — 256MB.sdf — содержал более 1500 сигнатур и требовал минимум 256 мегабайт оперативной памяти

ip ips name IPS

int f0/0
ip ips IPS

После привешивания на интерфейс правила IPS циска подгружала в память сигнатуры из файла и давала возможность их настроить как через консоль, так и через web-GUI (кстати, GUI, называемый Security Device Manager, SDM, весьма удобен при настройке IPS)

Для обратной совместимости в IOSах (до 12.4.Т(11)) оставались и встроенные сигнатуры. При использовании внешнего файла их рекомендовалось отключать

no ip ips sdf builtin

Можно было потребовать, чтобы трафик блокировался в случае, если невозможно подгрузить файл sdf или произошёл сбой подсистемы IPS

ip ips fail close

Но формат сигнатур тут был такой же, как и в сенсорах IPS версии 4. Этот формат не позволял глубже анализировать трафик и отсекать новые хитрые атаки. На самих IPS сенсорах уже появился к тому времени новый формат — 5, в котором можно настраивать накопительные параметры риска атаки (Risk Rating), создавать зоны более пристального внимания (Target Value Rating) и многое другое.

Поэтому с версии 12.4.Т(11) старый формат более не поддерживается, обновления сигнатур формата 4 прекратились в августе 2008.

ip ips auto-update

Далее, надо установить на маршрутизатор ключ компании cisco для расшифровывания (а вернее, проверки цифровой подписи) выкачанного файла

crypto key pubkey-chain rsa

named-key realm-cisco.pub signature

key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit

Желательно создать во флеше маршрутизатора отдельную папку для файлов IPS

Теперь осталось эти самые нужные файлы туда установить. Делается это хитрой командой

Эта процедура займет существенное время (несколько минут) и в результаты вы увидите во флеше

21 0 May 27 2009 14:22:58 +04:00 IPS
22 8662169 May 27 2009 14:24:22 +04:00 IPS/IOS-S399-CLI.pkg
23 284871 May 28 2009 22:48:00 +04:00 IPS/ccmt-2811-sigdef-default.xml
24 255 May 27 2009 16:35:56 +04:00 IPS/ccmt-2811-sigdef-delta.xml
25 34761 May 28 2009 22:43:44 +04:00 IPS/ccmt-2811-sigdef-category.xml
26 304 May 27 2009 16:35:56 +04:00 IPS/ccmt-2811-seap-delta.xml
27 8509 May 28 2009 22:43:40 +04:00 IPS/ccmt-2811-sigdef-typedef.xml
28 491 May 27 2009 17:05:00 +04:00 IPS/ccmt-2811-seap-typedef.xml

Эти xml файлы содержат дефолтные настройки, ваши изменения, параметры блокировки и т.д.

Практически всё. Надо только создать правило и повесить его на интерфейс, как это делалось и раньше:

ip ips name IPS

int f0/0
ip ips IPS

После этого произойдёт подгрузка в память сигнатур и те из них, которые по умолчанию включены, сразу примутся за работу.

Помните, что сигнатур много, они кушают много памяти и процессора, поэтому циска настоятельно рекомендует сделать следующее.

1. Отключить категорию сигнатур all

3. Далее, следя за памятью и загрузкой процессора, можно добавлять и другие категории сигнатур. Настройка самих сигнатур возможна как через консоль из режима

ip ips signature-definition

так и через SDM или более новый WEB-GUI — ССE (Cisco Configuration Expert)

Параметры и механизм настройки сигнатур максимально приближен к настройке на сенсорах, поэтому если вы имеете опыт настройки AIP-SSM, сенсоров 42ХХ или IDMS2, можете смело браться за дело. Если такого опыта нет, лучше почитать о настройке сигнатур. Или сходить на курс IPS 6.0 :)

Cisco IOS IPS

О системе предотвращения вторжений, встроенную в операционную систему маршрутизаторов ISR, знают ещё меньше людей, чем о наличии функции брандмауэра. Раньше, до определенной версии IOS семейства 12.x базовый набор атак входил в образ функционала Security и выше. Для загрузки расширенного набора сигнатур существовали файлы 128.sdf и 256.sdf. На современных версиях IOS используются паки сигнатур, общие для всех линеек оборудования: встроенной поддержки в IOS, для внутренних выделенных IPS модулей маршрутизаторов и внешних IPS-апплаенсов. Стандартные наборы сигнатур в них имеют названия ios_ips basic/advanced. Если ваш маршрутизатор обладает объёмом памяти от 256 Мб и на нём не включена куча сетевых сервисов, то на него спокойно удастся загрузить расширенный набор сигнатур advanced. При большем количестве памяти возможна загрузка дополнительных паков сигнатур.

!
Для начала нужно загрузить в маршрутизатор сертификат для проверки подлинности сигнатур. Зачем это сделано - не знаю, и работает ли без сертификата - тоже не пробовал. Но в документации написано, что нужно:
!
enable
Conf t

crypto key pubkey-chain rsa

named-key realm-cisco.pub signature

30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101

00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16

17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128

B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E

5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85

50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36

006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE

2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3

ip ips name *IPS* list IPS

ip ips config location flash:ips

ip ips memory threshold 40 - порог в мегабайтах оставшейся памяти

ip ips notify log

ip virtual-reassembly in

ip ips *IPS* in (+out)

ip access-list extended IPS

deny icmp any any

permit ip any any

ip ips signature-category

category ios_ips advanced

event-action reset-tcp-connection deny-packet-inline deny-connection-inline produce-alert

copy tftp://1.1.1.1/ IOS-S636-CLI.pkg idconf

Далее маршрутизатор подвиснет компилируя заданные сигнатуры в течение нескольких минут. Сохраните конфигурацию и перезагрузите устройство. Для более удобного управления сигнатурами используйте программу Cisco Configuration Professional.

show ip ips configuration

show ip ips signatures count
sh mem - для просмотра количества свободной памяти

В заключении стоит упомянуть о том, что скорость работы маршрутизатора в режиме IPS не превысит 10 мегабит, а так же то, что расширенные сигнатуры вызывают фрагментацию памяти, поэтому рекомендуется регулярная перезагрузка устройства.

!
Для удаления файлов сигнатур с флешки используйте команды:
!

Различия между этими моделями есть и их много, но на первый взгляд кажется, что разницы нет. Обратимся к документации, чтобы уяснить различия.

Внешнее отличие

Новый роутер C881 (сверху).

На C881 парные отверстия.

Крепление в стойку для Cisco 881 ACS-890-RM-19= так же подходит к C881

USB-порт переместился на обратную сторону.
Второе отверстие в новой версии теперь с резьбой, что позволяет C881 использовать крепление в стойку от 891`й.
В новой версии WAN-порт сместился от края к центру.

Отличие типов питания

Появилась кнопка включения питания.
Теперь для использования технологии PoE не нужен внешний блок питания.
Но для PoE всё ещё необходимо использовать дополнительный модуль 800G2-POE-2 (2 Port PoE Module for 880 Series Router)

Программное отличие

C881 имеет на борту 1GB RAM-памяти, но половина объёма закрыта лицензией. . Для увеличения объема памяти требуется приобретение FL-8XX-512U1GB (CISCO800 DRAM Upgrade from 512MB to 1GB)
C881 работая под управлением c 800- universalk 9 software image, не включает в себя лицензию advanced IP services (SL-880-AIS), в то время как CISCO881 работающая под управлением c880data-universalk9 software image требует эту лицензию.
Для получения фич advsecurity также придется активировать лицензию SL-880-ADVSEC Cisco 880 Advanced Security Software License

! CISCO881-K9 with PoE option running c880data-universalk9-mz.154-3.M.bin

PID: CISCO881-K9 , VID: V01 , SN: xxxxxxxxxxx

PID: ILPM-4 , VID: V01 , SN: xxxxxxxxxxx

Feature name Enforcement Evaluation Subscription Enabled RightToUse

advipservices yes yes no no yes

advsecurity no no no yes no

ios-ips-update yes yes yes no yes

Предыдущая Cisco881 не даёт конфигурировать BGP, multicast, VRF без лицензии Advanced IP Services, в то время как новая C881(или с c800-universal software build) теперь работает с этими функциями без каких либо проблем.

Многие знают, что практически у каждой модели Cisco существует несколько "подвидов", отличающихся не аппаратно, а программно, своим функционалом (банальнейший пример: WS-C3750-24TS-S с предустановленным IOS уровня IP Base по умолчанию и WS-C3750-24TS-E c предустановленным IP Services).

В некоторых случаях функционал определяется типом используемого IOS. В других случаях IOS может быть универсальным, а "подвиды" будут отличаться наличием активированных лицензий соответствующего уровня (опять же IP Base, IP Services, etc). А иногда активируются не только лицензии на общий уровень функционала, а еще и конкретные лицензии на тот или иной специфический функционал (ну например SEC или VOICE на маршрутизаторах линейки ISR).

Мы часто сталкиваемся с вопросами о том, можно ли залить на ту или иную модель IOS более продвинутой версии. Как активировать лицензию на тот или иной функционал и так далее.

Наконец, зачастую коллеги задают вопрос ребром: можно ли апгрейдить IOS или активировать функционал, а лицензии не покупать? Есть ли какая-либо защита, проверка ключа или что-то подобное.

Давайте попробуем разобраться и ответить на эти вопросы.

Аппаратная защита на оборудовании есть не всегда. Зачастую можно довольно легко залить IOS с максимальным уровнем функционала на базовое устройство в соответствующей линейке. И получать, и привязывать ключ, чтобы что-либо активировать - не нужно.

Многие лицензии распространяются по принципам Right-To-Use / honor-based и для их активации достаточно ввести соответствующие команды в CLI. Сама лицензия в данном случае является просто документальным подтверждением того, что за функционал уплачено. В процессе активации не используется и не требуется.

Итак, начнем по порядку рассмотрение наиболее популярных семейств оборудования Cisco и принципов лицензирования функционала.

P.S. Сразу хотелось бы отметить, что обозначенные в данной статье версии программного обеспечения не всегда являются самыми последними, но обычно это актуальные и стабильные версии, доступные в открытых источниках.

О самых последних версиях IOS и наборе функционала, который доступен, можно узнать, используя инструмент Cisco Feature Navigator.

I. Коммутаторы Cisco

1) Семейство Cisco 2950
Уровень функционала определяется моделью коммутатора.

2) Семейство Cisco 2960
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: присутствуют.

Линейка: Cisco Catalyst 2960 LAN Lite
Модели: WS-C2960-24TC-S, WS-C2960-24LC-S, WS-C2960-48PST-S, WS-C2960-48TC-S, WS-C2960-48TT-S
Максимально доступный уровень функционала: LAN Lite
Версия IOS: c2960-lanlitek9-tar.122-58.SE2.tar

3) Семейство Cisco 2960S
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: присутствуют.

Линейка: Cisco Catalyst 2960S LAN Lite
Модели: WS-C2960S-24TS-S, WS-C2960S-48TS-S
Максимально доступный уровень функционала: LAN Lite
Версия IOS: c2960s-universalk9-tar.122-58.SE2.tar

Линейка: Cisco Catalyst 2960S LAN Base
Модели: WS-C2960S-24PD-L, WS-C2960S-24PS-L, WS-C2960S-24TD-L, WS-C2960S-24TS-L, WS-C2960S-48TD-L, WS-C2960S-48TS-L
Максимально доступный уровень функционала: LAN Base
Версия IOS: c2960s-universalk9-tar.122-58.SE2.tar

4) Семейство Cisco 2970
Уровень функционала определяется моделью коммутатора.
Модели: WS-C2970G-24T-E, WS-C2970G-24TS-E
Максимально доступный уровень функционала: LAN Base
Версия IOS: c2970-lanbasek9-mz.122-44.SE6.bin

А теперь начинается самое интересное… :)

5) Семейство Cisco Catalyst 3550
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.
Модели: WS-C3550-12G, WS-C3550-12T, WS-C3550-24-FX-SMI, WS-C3550-24-PWR, WS-C3550-24 SMI, WS-C3550-48
Максимально доступный уровень функционала: IP SERVICES
Версия IOS: c3550-ipservicesk9-tar.122-44.SE6.tar

6) Семейство Cisco Catalyst 3560
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.
Модели: WS-C3560-24PS-S, WS-C3560-24TS-S, WS-C3560-48PS-S, WS-C3560-48TS-E, WS-C3560-48TS-S, WS-C3560G-24PS-S, WS-C3560G-24TS-S, WS-C3560G-48PS-S, WS-C3560G-48TS-S
Максимально доступный уровень функционала: IP SERVICES
Версия IOS: c3560-advipservicesk9-tar.122-46.SE.tar

7) Семейство Cisco Catalyst 3560E
Уровень функционала определяется активированной лицензией.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют (правда, не на всех ветках софта - на более ранних и снова начиная с 15-й).
Модели: WS-C3560E-24PD, WS-C3560E-24TD-S, WS-C3560E-48PD-S, WS-C3560E-48TD-S, WS-C3560E-48TD-E, WS-C3560E-24TD-E
Максимально доступный уровень функционала: IP SERVICES (RightToUse)
Версия IOS: c3560e-universalk9-mz.122-58.SE2.bin

8) Семейство Cisco Catalyst 3750
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.
Модели: WS-C3750-24PS-S, WS-C3750-24TS-S, WS-C3750-48PS-S, WS-C3750-48TS-E, WS-C3750-48TS-S, WS-C3750G-12S-E, WS-C3750G-12S, WS-C3750G-16TD, WS-C3750G-24PS-S, WS-C3750G-24T, WS-C3750G-24TS-E, WS-C3750G-24TS, WS-C3750G-24TS-S1U, WS-C3750G-48PS-S, WS-C3750G-48TS-S
Максимально доступный уровень функционала: IP SERVICES
Версия IOS: c3750-advipservicesk9-tar.122-46.SE.tar

9) Семейство Cisco Catalyst 3750E
Уровень функционала определяется активированной лицензией.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют (начиная с 15й ветки софта).
Модели: WS-C3750E-24PD-S, WS-C3750E-24TD-S, WS-C3750E-48PD-S, WS-C3750E-48TD-S, WS-C3750E-48TD-E, WS-C3750E-24TD-E
Максимально доступный уровень функционала: IP SERVICES (RightToUse)
Версия IOS: c3750e-universalk9-tar.150-2.SE6.tar

10) Семейство Cisco Catalyst 3750X
Уровень функционала определяется активированной лицензией.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют (начиная с 15й ветки софта).
Модели: WS-C3750X-12S-S, WS-C3750X-24P-S, WS-C3750X-24S-S, WS-C3750X-24T-L, WS-C3750X-24T-S, WS-C3750X-48P-S, WS-C3750X-48T-S, WS-C3750X-48T-E, WS-C3750X-24T-E
Максимально доступный уровень функционала: IP SERVICES (RightToUse)
Версия IOS: c3750e-universalk9-tar.150-2.SE6.tar

11) Семейство модульных коммутаторов Cisco Catalyst 4500
Уровень функционала определяется типом IOS на управляющем модуле.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.
Модели управляющих модулей: WS-X4516, WS-X4516-10GE
Максимально доступный уровень функционала: ENTERPRISE SERVICES SSH
Версия IOS: cat4500-entservicesk9-mz.122-46.SG.bin

13) Семейство модульных коммутаторов Cisco Catalyst 6500
Уровень функционала определяется типом IOS на управляющем модуле.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.
Модели управляющих модулей: WS-SUP32-GE-3B, WS-SUP32-10GE-3B
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES SSH
Версия IOS: s3223-adventerprisek9_wan-mz.122-33.SXJ.bin
Модели управляющих модулей: WS-SUP720-3B, WS-SUP720-3BXL, VS-S720-10G-3C, VS-S720-10G-3CXL
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES SSH
Версия IOS: s72033-adventerprisek9_wan-mz.122-33.SXH8.bin

II. Маршрутизаторы Cisco

1) Семейство Cisco 1700
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют при условии установки достаточного объема памяти.

Модели: C1751, C1760
Уровень функционала с памятью по умолчанию: IP Base
Версия IOS: c1700-ipbasek9-mz.124-12.bin
Уровень функционала с максимальным объемом DRAM: ENTERPRISE SERVICES
Версия IOS: c1700-entservicesk9-mz.124-15.T10.bin

2) Семейство: Сisco 3700
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.

Модели: c3725
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS с памятью по умолчанию: c3725-adventerprisek9-mz.123-26.bin
Версия IOS с максимальным объемом DRAM: c3725-adventerprisek9-mz.124-15.T8.bin

Модели: c3745
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS с памятью по умолчанию: c3745-adventerprisek9-mz.123-26.bin)
Версия IOS с максимальным объемом DRAM: c3745-adventerprisek9-mz.124-15.T14.bin)

3) Семейство: Сisco 1800
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют при условии установки достаточного объема памяти.

Модели: C1841
Уровень функционала с памятью по умолчанию: IP Base
Версия IOS :c1841-ipbasek9-mz.124-25a.bin
Уровень функционала с максимальным объемом DRAM: ADVANCED ENTERPRISE SERVICES
Версия IOS: c1841-adventerprisek9-mz.124-24.T7.bin

4) Семейство: Сisco 2800
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют при условии установки достаточного объема памяти.

Модели: CISCO2801
Уровень функционала с памятью по умолчанию: IP Base
Версия IOS: c2801-ipbasek9-mz.124-15.T1.bin
Уровень функционала с максимальным объемом DRAM: ADVANCED ENTERPRISE SERVICES
Версия IOS: c2801-adventerprisek9-mz.124-24.T7.bin

Модели: CISCO2811, CISCO2821, CISCO2851
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS с памятью по умолчанию: c2800nm-adventerprisek9-mz.124-25f.bin)
Версия IOS с максимальным объемом DRAM: c2800nm-adventerprisek9-mz.124-24.T8.bin

5) Семейство: Сisco 3800
Уровень функционала определяется: типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.

Модели: c3825
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS с памятью по умолчанию: c3825-adventerprisek9-mz.124-25f.bin
Версия IOS с максимальным объемом DRAM: c3825-adventerprisek9-mz.124-24.T7.bin

Модели: c3845
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS с памятью по умолчанию: c3845-adventerprisek9-mz.124-25f.bin
Версия IOS с максимальным объемом DRAM: c3845-adventerprisek9-mz.124-24.T6.bin)

6) Семейство: Cisco 1900
Уровень функционала определяется набором активированных лицензий.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют.

Модели: CISCO1921/K9, CISCO1941/K9
Максимально доступный уровень функционала: UNIVERSAL - DATA & SECURITY (RightToUse)
Версия IOS: c1900-universalk9-mz.SPA.153-2.T.bin

Модели: CISCO1921-SEC/K9, CISCO1941-SEC/K9
Максимально доступный уровень функционала: UNIVERSAL - DATA & SECURITY (Permanent securityk9)
Версия IOS:c1900-universalk9-mz.SPA.153-2.T.bin

7) Семейство: Сisco 2900
Уровень функционала определяется набором активированных лицензий.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют.

Модели: CISCO2901/K9, CISCO2911/K9, CISCO2921/K9
Максимально доступный уровень функционала: UNIVERSAL - DATA & SECURITY & UC (RightToUse)
Версия IOS: c2900-universalk9-mz.SPA.154-1.T1.bin

Модели: CISCO2951/K9
Максимально доступный уровень функционала: UNIVERSAL - DATA & SECURITY & UC (RightToUse)
Версия IOS: c2951-universalk9-mz.SPA.154-2.T.bin

8) Семейство: Сisco 3900
Уровень функционала определяется набором активированных лицензий.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют.

Модели: CISCO3925/K9, CISCO3945/K9
Максимально доступный уровень функционала: UNIVERSAL - DATA & SECURITY & UC (RightToUse)
Версия IOS: c3900-universalk9-mz.SPA.153-3.M.bin

Модели: CISCO3925E/K9, CISCO3945E/K9
Максимально доступный уровень функционала: UNIVERSAL - DATA & SECURITY & UC (RightToUse)
Версия IOS: c3900e-universalk9-mz.SPA.154-1.T1.bin

9) Семейство: Сisco 7200
Уровень функционала определяется типом IOS.
Аппаратные ограничения и защита от апгрейда IOS: отсутствуют.

Модели: NPE-G1
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS с памятью по умолчанию: c7200-adventerprisek9-mz.124-11.T2.bin
Версия IOS с максимальным объемом DRAM: c7200-adventerprisek9-mz.124-24.T8.bin

Модели: NPE-G2
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS: c7200p-adventerprisek9-mz.124-24.T5.bin

Модели: 7301
Максимально доступный уровень функционала: ADVANCED ENTERPRISE SERVICES
Версия IOS: c7301-adventerprisek9-mz.124-24.T4.bin

10) Семейство Cisco ASR1000
Уровень функционала определяется: набором активированных лицензий.
Аппаратные ограничения и защита от повышения уровня лицензии: отсутствуют.

Читайте также: