思科IOS12.3的特性

　　思科的IOS 12.3和其子版本不僅包含增加的基本變化和漏洞修復。還有很多其他的，包括網(wǎng)絡(luò )準入控制(NAC)，最優(yōu)邊緣路由，動(dòng)態(tài)多點(diǎn)VPN，IPSec全狀態(tài)故障恢復等。下面一起和小編來(lái)看看吧!

　　網(wǎng)絡(luò )準入控制(NAC)

　　思科的NAC運行在思科路由器上(運行在交換機上的NAC將很快出現)，要使用NAC，你還需要在網(wǎng)絡(luò )中的每臺PC上安裝客戶(hù)端軟件(思科認證代理)。網(wǎng)絡(luò )上需要有思科安全接入控制服務(wù)器(ACS)。在PC能夠訪(fǎng)問(wèn)網(wǎng)絡(luò )之前，檢測其防病毒定義版本(你也可以讓NAC檢測其他軟件版本)。如果該PC沒(méi)有需要的版本，它就不能訪(fǎng)問(wèn)網(wǎng)絡(luò )，取而代之的是，它被隔離在一個(gè)專(zhuān)用網(wǎng)中以進(jìn)行必要的升級。微軟已經(jīng)出品了類(lèi)似的產(chǎn)品，稱(chēng)為網(wǎng)絡(luò )接入防護(NAP)。幸運的是，這兩家公司已經(jīng)聯(lián)手嘗試使他們具有競爭性的產(chǎn)品相互兼容。

　　入侵防護系統

　　在IOS 12.0(5)T中，思科引入了一個(gè)入侵檢測系統(IDS)。該版本只提供59個(gè)特征來(lái)識別入侵。這些特征不能升級。因此，隨著(zhù)新的入侵類(lèi)型的出現，IOS不再有保護作用。在IOS 12.3(11)T中，思科提供包括118條特征的入侵防護系統(IPS)，新的IPS中最重要的不同，在于它允許用戶(hù)隨著(zhù)新的攻擊手段被發(fā)現而增加新的特征。它通過(guò)使用一個(gè)位于路由器閃存上的特征定義文件(SDF)來(lái)實(shí)現這一點(diǎn)。用戶(hù)可以提交新的IPS警報并且查看思科入侵防護警報中心上現有的警報。當通過(guò)路由器的一個(gè)數據包符合某個(gè)特征時(shí)，路由器可以被配置為向網(wǎng)絡(luò )管理員報警或者丟棄該數據包并發(fā)送一個(gè)警報。思科宣稱(chēng)新的設計，不會(huì )影響路由器的性能。

　　最優(yōu)邊緣路由(OER)

　　OER是一個(gè)允許在廣域網(wǎng)邊緣進(jìn)行負載均衡的新特性。在我的公司，我擁有兩條連接到Internet的運行BGP最優(yōu)路由的T1線(xiàn)路。盡管它確實(shí)給我們帶來(lái)了冗余，但對負載均衡卻無(wú)所作為。這是因為一個(gè)提供商是Tier 1，而另一個(gè)是Tier 2.Tier 1提供商幾乎總是提供更短的路徑而且幾乎所有流量通過(guò)該線(xiàn)路。我們曾嘗試使用權重和多出口標識(MED)進(jìn)行負載均衡，但這并不總是有效。OER應該能夠解決這類(lèi)負載均衡問(wèn)題。通過(guò)OER，你可以定義延遲策略，吞吐量和鏈路開(kāi)銷(xiāo)參數。路由器使用該策略決定如何平衡通過(guò)你的多個(gè)廣域網(wǎng)鏈路的負載。這些基本上都是Internet連接，但是也可能是其他類(lèi)型的廣域網(wǎng)連接。OER不僅支持靜態(tài)路由，還支持BGP協(xié)議。所有這些可以在路由器的IOS上進(jìn)行配置。如果你想有一個(gè)圖形界面以控制更復雜的OER環(huán)境，你可以購買(mǎi)一個(gè)基于Linux的附加OER產(chǎn)品，稱(chēng)為OER主控制器引擎。

　　企業(yè)版自動(dòng)QoS

　　AutoQoS(自動(dòng)服務(wù)質(zhì)量)是一個(gè)新特性，它能夠發(fā)現網(wǎng)絡(luò )中的流量類(lèi)型以及接口速度，然后根據最優(yōu)方法為該流量配置合適的網(wǎng)絡(luò )質(zhì)量。該特性最初是為廣域網(wǎng)上的音頻和視頻質(zhì)量而設計，但是它也可以用在許多其他事情上。AutoQoS可以在幾分鐘內完成可能需要一位網(wǎng)絡(luò )專(zhuān)家幾小時(shí)完成的事情。缺點(diǎn)是AutoQoS并不完美，它對網(wǎng)絡(luò )中的任何可能的改變不會(huì )做任何反應，而且一旦它被配置，你仍需要一位網(wǎng)絡(luò )專(zhuān)家分析其結果并確保其正常運行。

　　自動(dòng)安全

　　自動(dòng)安全(AutoSecure)分析路由器的安全設置并且可以為你進(jìn)行修改。

　　CallManager Express(CME)和Survivable Remote Site Telephony(SRST)

　　CallManager Express(CME)已經(jīng)從允許路由器作為一個(gè)非常有限的，單機的，IP層語(yǔ)音(VoIP)電話(huà)系統進(jìn)化到具有良好性能的(路由器上)中型企業(yè)(SME)電話(huà)系統。關(guān)于遠程電話(huà)應急呼叫(SRST)，勾勒出一個(gè)擁有中央管理的CallManager(思科 VoIP電話(huà)系統)，具有許多遠程辦公地點(diǎn)的大型企業(yè)。在那些遠程地點(diǎn)，路由器會(huì )配置SRST，所以如果到中央CallManager的廣域網(wǎng)連接丟失，啟用SRST的路由器可能向遠程電話(huà)提供有限的呼叫特性。

　　動(dòng)態(tài)多點(diǎn)VPN(DMVPN)

　　從技術(shù)上講，這個(gè)特性出現在12.2(13)T中，但是它太酷了，所以我想介紹一下它。DMVPN允許路由器根據需要在Internet上動(dòng)態(tài)地建立雙方的VPN隧道。然而更方便的是，這些隧道只需要非常簡(jiǎn)單的配置。在過(guò)去，要建立一個(gè)完全網(wǎng)狀連結的VPN網(wǎng)絡(luò )，必須對每個(gè)遠程站點(diǎn)的路由器(或VPN連接器)進(jìn)行相當多的配置。隨著(zhù)遠程站點(diǎn)的增多，同時(shí)增長(cháng)的VPN隧道成為了麻煩事，而且所有配置難以處理。有了DMVPN，一個(gè)完全網(wǎng)狀連結的VPN網(wǎng)絡(luò )可以伸縮，而且VPN隧道只在需要時(shí)建立。

　　IPSec全狀態(tài)故障恢復

　　這個(gè)特性確實(shí)就像它的名字所說(shuō)的那樣。你有兩個(gè)路由器，它們都有IPSec隧道，以熱備用路由協(xié)議(HSRP)連接到LAN.如果一臺路由器發(fā)生故障，在計劃的或非計劃的情況下，備份路由器會(huì )取代它而且IPSec隧道永遠不會(huì )被終止。盡管這項技術(shù)可以在高端VPN連接器中見(jiàn)到，但是將它免費地包括在路由器的IOS中是非常好的意外收獲。

　　基于網(wǎng)絡(luò )的應用識別(NBAR)

　　多數路由器只是考慮第三層的通信。通過(guò)NBAR，路由器可以縱觀(guān)四到七層。這意味著(zhù)路由器可以識別應用。一旦它識別出應用，它就可以采取某些措施以確保該應用獲得更高的優(yōu)先權，丟棄來(lái)自其他應用的數據包，或采取其他措施。NBAR已經(jīng)出現在IOS 12.0中，但它只能識別少量的應用。IOS 12.3中不同以往的是，NBAR可以識別更多的應用而且可以使用PDLM(數據包描述語(yǔ)言模塊)動(dòng)態(tài)地增加新的應用。思科定期發(fā)布新應用的新PDLM.你可以在他們的PDLM Web頁(yè)面上找到該列表(需要有效的CCO登錄)。

　　思科安全設備管理器(SDM)

　　SDM是路由器的一個(gè)免費Java管理工具。它需要IOS 12.2或12.3，這依賴(lài)于你的路由器模式。

　　透明防火墻

　　假設你想在兩個(gè)網(wǎng)絡(luò )之間增加一個(gè)防火墻。通常，和一個(gè)路由器類(lèi)似，防火墻的每個(gè)接口必須對應不同的網(wǎng)絡(luò )。這聽(tīng)起來(lái)像一個(gè)大的網(wǎng)絡(luò )變更，是嗎?或許不必再如此復雜。在IOS 12.3(7)T中，思科引入了透明防火墻。工作在第二層的透明防火墻的好處是它可以用最小的配置增加到現有網(wǎng)絡(luò )中，而且它向該網(wǎng)絡(luò )提供防火墻安全。實(shí)際上，你可以在運行第三層防火墻特性的同一個(gè)路由器運行第二層透明防火墻。在其更基礎的形式中，透明防火墻以這樣的方式工作：你創(chuàng )建一個(gè)橋組，將你的接口放進(jìn)去，在某個(gè)接口上啟用“ip inspect”建立一個(gè)將被應用在其他接口上的訪(fǎng)問(wèn)列表，那么，你的透明防火墻就做好了。

　　熱升級

　　熱升級允許一個(gè)運行中的路由器查看IOS鏡像，解壓它并直接啟動(dòng)它。這樣做使得不必關(guān)閉路由器，回到ROMMON，導入鏡像并解壓鏡像。思科認為這是對在IOS 12.3(2)T中引入的熱重啟特性的補充，并使將路由器重啟的時(shí)間從四分鐘減少到兩分鐘。

【思科IOS12.3的特性】相關(guān)文章：

思科認證詳解和思科未來(lái)05-22

思科認證級別08-21

思科認證分類(lèi)09-29

思科認證介紹06-17

思科認證的含金量07-30

思科CCNP培訓09-24

思科認證流程06-02

思科認證方向07-14

思科認證的前景如何10-13

思科認證體系簡(jiǎn)介07-01