Cisco IOS ® 软件一直是网络界路由创新的核心。软件中路由性能的改进不像新机箱或线卡那样明显。但是,近二十年来,使思科路由器独树一帜的大量网络服务都应直接归功于集成到路由器操作系统中的各种智能特性。
从 1987 年推出首次使企业能够建立路由多协议网间网的思科内部网关路由协议( IGRP ),到最近推出能够以 92Tbps 的速度执行容错路由的 Cisco IOS XR , Cisco IOS 软件一直都在进步和创新。
利用专为满足新一代服务供给商要求而开发的 Cisco IOS XR (参见 “路由器的重新发明”),现有的软件企业版能够继续提供丰富的新特性。许多最新企业增强特性都注重安全性,以帮助网络经理和 IT 经理消除不断出现的新威胁。
例如,思科网络准入控制( NAC )、思科公共密钥基础设施( PKI )增强、内部入侵防范和嵌入式第 2 层和 IPv6 防火墙特性能够有效抵御企业环境中的病毒、蠕虫和其它入侵者。
其它改进还能提高企业 WAN 边缘的性能,节省成本并延长正常运行时间。
例如,称为思科优化边缘路由( OER )的新功能可以根据客户制定的策略自动选择多寻的互联网服务供给商( ISP )连接中的最佳路径。为了在不使用冗余系统的前提下提高小型分支站点的 WAN 可用性,思科温重加载( Cisco Warm Reload )缩短了系统重启时间,并减小了软件错误对停机时间的影响。
最后,思科还将其路由软件融合到了三个“系列”或版本中:为企业接入和核心设备开发的 Cisco IOS T 软件,为大型企业核心、服务供给商边缘和服务供给商核心系统开发的 Cisco IOS S 软件,以及为服务供给商核心路由器的新型运营商路由系统系列开发的 Cisco IOS XR 软件。
NAC 增强了端点的安全性
目前,最严重的持续性安全问题是,随着远程和移动用户数量的增加,网络的用户端点数量越来越多(客户设备)。由于员工分布在多个地点,因而很难让所有端口都及时更新防病毒签名和操作系统补丁。
另外,由于远程员工和移动员工使用的客户设备、操作系统、接入网络和服务多种多样,因而很轻易对企业网造成危害。离开企业网时,这些设备很轻易受到公用互联网上新病毒的感染。当它们再次与企业网相连时,极可能会侵害到企业网。
思科的产品营销经理 Russell Rice 说:“当今的许多机构都采用了多种安全保护机制,例如防病毒软件、防火墙及其它端点技术。但是,仍然有许多企业经常受到病毒的侵害。”
但是, Cisco NAC 果断贯彻这样一条准则:假如不安全,就绝对禁止与网络相连。
企业边缘的 NAC 型思科路由器能够自动检查试图与内部网连接的客户设备是否安装了最新的防毒软件,只有检查通过,才授予接入权限。这种防护是第一道防线,将防止治理不善的设备向网络传播已经从网络其余部分清除出去的病毒。
Rice 说,严格控制是非常必要的,因为“病毒或蠕虫造成重要危害的时间已经从几小时缩短到了几分钟。”
探测到非法设备时, NAC 将按照企业制定的策略采取相应的措施。例如,它可能拒绝接入,或者只限客户设备接入提供最新杀毒程序的服务器。网络治理员可以根据实际情况制定哪种设备可以接入哪些资源的策略,包括设备类型、连接类型和操作系统等。
思科技术营销经理 Deepak Kini 说,思科 NAC 是由思科发起,并得到业界广泛支持的计划,它支持运行 Microsoft Windows NT 、 XP 和 2000 操作系统的端点,而且能够检查 OS 补丁。另外,它还能与 McAfee 、 Trend Micro 和 Symantec 的防病毒软件配合使用。由于提供开放式 API ,因此其它感爱好的公司可以将其系统添加到系统组合中。
NAC 随 Cisco IOS 软件 12.3 ( 8 ) T 在从 Cisco 800 系列路由器到 Cisco 7200 系列路由器的所有思科接入路由器中提供。另外,思科网络安全治理和接入产品也支持这个特性,例如思科安全接入控制服务器( ACS )、思科安全代理和 CiscoWorks 安全信息治理解决方案( SIMS )。
保持端点清洁只是第一步,还需要实施其它防护措施。其它威胁包括篡改、窃听和中间人攻击等。入侵者利用中间人攻击获取信息,包括截获信息,复制或篡改信息,然后重新传回原始接收人。在这种情况下,从表面上看,原始双方仍然能够相互直接通信。
可以治理的 PKI 体系结构
为保护敏感通信, Cisco IOS 软件提供了许多特性。随着网络的增长,数据安全机制的治理变得越来越繁琐,因此,软件中融入了许多 PKI 新特性,以便简化公用和专用密钥加密的供给和治理。
例如,网络治理员可以人工治理端口数低于 100 的 IPSec VPN 的共享密钥。但是,假如 VPN 的端点数增长到数百个或者数千个,人工治理和使用共享密钥就会变得非常困难,尤其是在完全网状配置中应用 IPSec 网络安全性的时候。
思科的 PKI 实施方案为公用—专用密钥加密提供了一个可以扩展的治理系统。用户的公用密钥由 PKI 证书权威机构( CA )集成到数字证书中。数字证书不但能用于确认设备的身份和网络访问权限,还可以为分布设备的加密密钥材料提供一种信任机制。
思科的技术营销经理 Brian Stiff 说:“ PKI 可以为数十万用户提供服务。它不但提供了内置防护功能,例如定期检查证书的有效期,还可以确定每位证书持有人有权访问的内容。对于大中型 IPSec VPN , PKI 非常必要。”
Cisco IOS 软件首先在 Cisco IOS 软件 12.3 ( 4 ) T 中使用了集成式 CA —— PKI 的基础。在这个版本中,网络中的一台路由器作为 CA ,网络安全基础设施中的所有设备都通过它注册。
最近, Cisco IOS 软件 12.3 ( 8 ) T 利用称为轻松安全设备部署( EzSDD )的 GUI 特性简化了证书的部署。利用 EzSDD ,可以直接将远程路由器送至目的地,由用户从包装箱中取出,接上电源,然后输入引导 URL 、用户名和密码。路由器将自动利用安全注册机制对自己进行登记,并接收自行配置,设置基本的参数或者与供给系统联络。
假如没有 EzSDD ,公司必须将所有远程站点路由器送至部署中心,等安全设备配齐之后再将设备送往远程站点。
另外,为解决数字证书的有效期和撤回问题,思科最近增加了软件特性。以前,人们对 PKI 的担心是,在证书已被撤回和保存证书状态信息的数据库刷新之间的这段时间里,证书撤回表( CRL )中的信息可能会过期,从而留下一个短期安全漏洞。
为弥补这个安全漏洞,思科为 Cisco IOS 软件增加了两个特性。首先,思科 PKI 验证、计帐和授权( AAA )特性能够提供安全设备证书核实机制与 AAA 服务器证书核实机制之间的连接。其次, Cisco IOS 软件目前还支持 IETF 标准网上证书状态协议( OCSP ),通过从分布式路由器提供实时证书状态检查解决了失效 CRL 问题。
OCSP 服务器直接与颁发用户证书的 CA 服务器相连(可能已经撤回)。 OCSP 服务器可以立即了解相关信息,例如证书是否有效。
在思科路由器上实施的 OCSP 能够直接向 OCSP 服务器查询证书的状态。 OCSP 服务器可以检查证书撤回数据库,并立即返回信息,说明证书的有效状态。
新 IOS 特性举例
路由器软件特性 版本
网络准入控制( NAC ) 12.3 ( 8 ) T
内部入侵防范系统 12.3 ( 8 ) T
轻松安全设备部署( ExSDD ) 12.3 ( 8 ) T
优化边缘路由( OER ) 12.3 ( 8 ) T
透明防火墙 12.3 ( 7 ) T
IPv6 防火墙 12.3 ( 7 ) T
PKI 证书权威机构( CA ) 12.3 ( 4 ) T
网上证书状态协议( OCSP ) 12.3 ( 2 ) T
温重加载 12.3 ( 2 ) T
PKI-AAA 12.3 ( 1 )
图 1 最近的企业增强集中在安全性、性能和可用性等方面
其它安全特性
几乎每个星期都会出现新的病毒或蠕虫。 Cisco IOS 软件正在采取其它措施简化阻止这些攻击的操作,增强网络的防御能力。
Cisco IOS 软件的新型内部入侵防范系统随 Cisco IOS 软件 12.3 ( 8 ) T 提供,在它支持的蠕虫和签名攻击文件中,初始基础集合内共包含 118 个签名。这些签名是从 Cisco.com Web 站点上的签名数据库中非凡挑选出来的。思科的产品经理 Ruben Rios 说,挑选它们的原因是,它们几乎不可能产生错误的原级,而且极有可能对网络造成实际危害。
Rios 解释说:“在不久的将来,客户将能够定制自己下载的签名,以便只执行对其环境有意义的签名。例如,没有 UNIX 主机的纯 Windows 环境就可以不查找 UNIX 漏洞,反而亦然。”
Rios 说,最后, Cisco IOS 软件将答应 Cisco IDS Sensor 设备的用户访问所有相同的签名。用户不但能定制对签名采取的措施,还能在已知签名有所变化时对签名本身进行修改。
Cisco IOS 防火墙也推出了两个新功能。 Cisco IOS 软件 12.3 ( 7 ) T 中提供的称为透明防火墙的特性可以部署在现有网络中,而且不需要进行繁琐、费时的子网重组就能获得支持。
这个特性的目的是保护无线 LAN 接入点。与无线接入点相连的布线室交换机并没有将远程站点重新配置到 VLAN 之间的路径上,而是利用通过中继端口安装的透明防火墙与可以远程配置的路由器相连。防火墙可以用于控制用户对企业网资源的访问权限——这是使非法用户远离网络的另一道防护线。
Cisco IOS 防火墙是能够同时在第 2 层数和第 3 层执行状态化过滤的唯一一种防火墙。这个版本还支持 IPv6 防火墙,以状态化的方式同时检查 IPv4 和 IPv6 消息。
选择最佳 WAN 路径
提高安全性是 Cisco IOS 软件创新的一个优点,智能路由则是另一个优点, OER 就是一个很好的例子。
三个系列: CISCO IOS 软件系列
IOS T
IOS S
IOS XR
目标网络
•接入
•企业
•治理式 CPE/WAN 边缘
•大型企业核心
•服务供给商边缘
•服务供给商核心(目前)
•服务供给商核心(近期)
•服务供给商边缘(未来)
要害属性
•广泛的平台支持 / 占据的空间小
•集成安全性,话音、 QoS
•灵活的特性任选封装
•增强的可扩展性、可用性、安全性
•适合要害企业核心和服务供给商边缘网络
•为实现灵活的服务供给提供广泛的特性集
•TB 级核心 IP/MPLS 路由
•无与伦比的可扩展性和性能
•连续系统运作
•卓越的服务灵活性
目标应用
•防火墙、入侵监测
•IP 电话
•无线网络
•QoS
•IPv4 和 IPv6 路由
•高端平台支持
•核心和边缘 IP/MPLS 路由
•MPLS VPN
•MPLS 任意传输( ATOM )
•企业核心基础设施
•核心 IP/MPLS 路由
•大型对等网
•POP 融合
•基础设施融合
•连续系统运作
图 2 Cisco IOS 软件版本或“系列”面向非凡平台和市场,将继续利用切实可行的 Cisco IOS 软件技术。
思科产品经理 Kathleen Nguyen 说:“跳数最少的路径不一定是性能最高的路径。”
Cisco IOS 软件 12.3 ( 8 ) T 中的特性 OER 将部署在与多家 ISP 相连的企业边缘路由器上。 OER 可以根据固定路由指标以外的条件实时调整路由。它使用其它 Cisco IOS 软件功能收集的延迟、分组损失、链路使用率、可到达性和吞吐量等流量特征数据,例如 NetFlow 分组计费和服务保证代理( SAA )实时性能监控。
OER 主控制器使用同一个 Cisco IOS 软件代码库,在基于 Linux 的设备上运行,以提供可扩展性、可治理性、数据历史、增强的 GUI 配置和报告。
思科互联网技术分部技术营销组经理 Dan Gill 指出, OER 可以为专用目的执行路径优化,例如降低成本,或者为对延迟等指标敏感的某些应用流量保持 QoS 。
Dan Gill 解释说:“假设多条链路的固定成本库和分层库的成本结构相同。根据性能要求的不同, OER 可以将您的呼叫路由到当时成本最低的链路上。”
另外, OER 还能生成报告,帮助企业与 ISP 一起治理服务等级协议( SLA )。
延长单处理器站点的正常运行时间
某些企业地点,例如某些分支站点,可能没有配置冗余 WAN 接入路由器,也没有配置能够实现热故障恢复的带双路由处理器的路由器。但是,在某些情况下,最好或者需要在这些路由器上重新加载 Cisco IOS 软件。为降低重新加载引起的停机时间,思科采用了称为思科温重加载的特性。
重加载软件时,不需要从闪速内存中阅读和解压缩软件。相反,图像将从以前拷贝在 RAM 中的读—写数据恢复,然后重新执行 Cisco IOS 软件。这种方法大大缩短了从闪存到 RAM 的复制和图像自解压缩需要的时间。
由于首次启动路由器时, Cisco IOS 软件能够在 Cisco IOS 软件数据段改变之前保存原始备份,因此,上述过程可以实现。当需要温重加载时,将恢复保存的数据段,并将控制权交给 Cisco IOS 软件文本段的起始程序。一般情况下,与冷重启相比,根据使用的路由器和配置的不同,温重启能够节省 80-90% 的时间——从几分钟到几秒钟。
Cisco IOS 温重启将首先在 Cisco IOS 软件 12.3 ( 2 ) T 中提供。
IOS 的发展
如前所述,思科已经将多个版本简化成了三个,从而简化了 Cisco IOS 软件。改造 Cisco IOS T 、 IOS S 和 IOS XR 软件版本的目的是使它们能够更好地在企业接入、企业核心以及服务供给商边缘和核心网络使用的三组硬件平台上运行(参见背面的图 2 )。
每个系列都包含适合相应市场使用的选项集,使客户能够轻松地确定将哪些版本和平台组合在一起才能获得所需要的非凡功能。
思科的产品技术营销经理 Holly Linden 说:“每个版本都将继续利用多年来集成到 IOS 中的巨大知识产权共享库和开发经验。我们的软件战略是,为每个客户群体优化每个系列的特性和功能。”
由于采用了通用 Cisco IOS 软件 库 , 每个特性都能够以相同的方式在包含它的任何版本上操作 ,且命令行界面相同。
现在, Cisco IOS 软件共提供三级定制:
•基础设施优化 ——选择 Cisco IOS T 、 S 或 XR 软件
•产品专项优化 ——通过专门为特定硬件平台开发的版本缩短新硬件、卡和性能 / 价格比的上市时间
•特性包 ——为每个硬件平台大约提供八个特性包。 Linden 指出:“这些选项包与汽车相同,用户可以选择空调、防太阳光组件、防锁定刹车和自动升降车窗。”
Linden 说,在适当的时候, Cisco IOS 软件的某些功能将移植到路由器软件的 S 和 T 版本。
例如,基于微核、有优先权的多任务是为 Cisco IOS XR 和 CRS-1 服务供给商平台开发的功能,但思科计划将其移植到 Cisco IOS 软件 S 系列中。利用这种功能,路由器能够并列运行多个流程,以便根据需要或者在一个流程出现故障时在多个流程之间转移容量。
利用这种及其它方式, Cisco IOS 软件将像以往一样不断发展,以满足它所服务的多个市场的不断变化的要求。
参考资料
•网络准入控制白皮书
cisco.com/packet/163_6c1
•公共密钥基础设施产品简介
cisco.com/packet/163_6c2
•透明防火墙
cisco.com/packet/163_6c3
•优化型边缘路由产品简介
cisco.com/packet/163_6c4
2001
不需要为分组网络网关维护呼叫状态和复杂信令的信号状态治理系统获得了专利,专利号为 6,188,760 ( 2 月)
思科和 IBM 提出了通过 IP 网络广泛接入存储设备的 ISCSI 协议( 4 月)
思科成为公布提供 IPv6 部署功能的首家厂商( 5 月)
推出了 Cisco ONS 15540 扩展服务平台,这是为企业和服务供给商网络开发的高端城域 DWDM 光网系统( 5 月)
推出了业界第一个 10Gbps 多业务传输平台( 6 月)
为企业内容供给网开发了 Boomerang 算法和 SODA 算法( 11 月)
为 Cisco Catalyst 6500 系列推出了第一个 10 千兆位以太网模块( 11 月)
2001
利用空间和本地重用为双向环介质开发的分布式带宽分配方法和仪器获得了专利,专利号为 6,314,110 ( 11 月);后来称为 DPT 或 RPR
推出了思科远距离以太网带宽联网解决方案,这是业界通过现有的 1/2/3 类布线提供 5-15Mbps 性能的第一个端到端产品线( 12 月)
推出了 Cisco ONS 15808 ,用于在远距离光传输环境中提供数据( 12 月)
推出了完整的光多业务边缘和传输( COMET )系列( 12 月)
推出了 IP 服务引擎( ISE );为 Cisco 12000 系列开发的这个第 3 层转发引擎为独特的新一代可编程高性能边缘优化线卡奠定了基础
2002
推出了 Cisco Airnoet 1200 系列,这是同时支持 IEEE 802.1b 和 5Ghz 802.11a 速率的第一个无线 LAN 接入点( 4 月)
推出了全球永续性 IP ,这是支持网络级永续性的一套 Cisco IOS 软件特性( 5 月)
为扩展服务供给商的以太网基础设施推出了业界第一块单端口 10Gbps 以太网路由器线卡,以及业界第一块 10 千兆位 DPT/RPR 线卡( 6 月)
为电信商推出了 Cisco ONS 15600 系列多业务交换平台( 9 月);新型 Cisco 7200 系列网络处理引擎( NPE-G1 )使 Cisco 7200 系列路由器的处理能力提高了一倍以上( 9 月)
推出了 Cisco Catalyst 6500 内容交换模块,使 Web 站点能够以智能方式扩展到大量服务器( 7 月);推出了 Cisco MDS 9000 系列多层智能存储交换机( 8 月)
为了在 Cisco Catalyst 4000 系列交换机中增强对数据、话音和视频网络的控制,内部设计了 ASIC 和第 3 层交换模块( 9 月)
新型 Cisco 7200 系列网络处理引擎( NPE-GI )使 Cisco 7200 系列路由器的处理能力提高了一倍以上( 9 月)
2003
推出了业界第一个商用 iSCSI 平台 Cisco SN 5420 存储路由器( 10 月)
思科和 SURFnet 第一次展示了通过 IPv6 传输 HDTV 的情况( 11 月)
在 Catalyst 3750 系列中采用了 Cisco StackWise 技术( 4 月);推出了 Cisco Catalyst 3550-24 PWR 智能以太网交换机( 1 月)
推出第一个第 2 层隧道协议版本 3 ( L2TPv3 )解决方案( 1 月)
为客户边缘应用推出了性能最高的单机架单元路由器 Cisco 7301 路由器( 4 月)
以 Wi-Fi 和 IEEE 802.11b 技术为基础推出了思科 7920 无线 IP 电话( 4 月)
为恶劣环境推出了 Cisco Catalyst 2955 以太网交换机,为教室推出了 Catalyst 2940 交换机( 6 月)
通过结构化无线网络计划将有线 LAN 和无线 LAN 集成在一起( 6 月)
2003
2004
推出了带彩色显示屏的思科 7970G IP 电话( 9 月)
思科与 Network Associates 、 Symantec 和 Trend Micro 联合解决业界安全问题;为帮助各公司发现、预防和消除安全风险制定了自防御网络计划( 11 月)
对 Cisco 12000 系列路由器进行了增强,将世界上最大的核心网络的容量增加了一倍,并增强了边缘服务灵活性和投资保护功能( 12 月)
推出了业界第一个运营商路由系统 Cisco CRS-1 ( 5 月)
吉尼斯世界记录认定, Cisco CRS-1 是容量最高的路由器,总吞吐量高达 92Tbps ; CRS-1 是吉尼斯世界记录承认的第一种网络技术( 7 月)