Маршрутизаторы

Можно ли монтировать в стойку маршрутизаторы Cisco 880/890/1100/4000?
  • Cisco 880 – нельзя;
  • Cisco 891 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-890-RM-19);
  • Cisco 1100 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-1100-RM-19);
  • Cisco 4000 – можно, «уши» идут в комплекте.
Что такое маршрутизаторы Cisco ISR 4000 Series?

Маршрутизаторы Cisco ISR 4000 Series были выпущены на замену серии маршрутизаторов Cisco ISR G2 2900, 3900 (на данные модели объявлен EoS).

Основные отличия новых маршрутизаторов:

  • Более производительные (за счёт многоядерной архитектуры); производительность не деградирует при включении сервисов (NAT, ZFW и пр.);
  • Возможность увеличения производительности ключом активации. Например, было 50Мбит/с, ввели ключ, получили 100 Мбит/с;
  • Виртуализация приложений – можно запускать различные приложения (например, WAAS, Snort и пр.) на базе маршрутизатора без потери в производительности и дополнительных модулей;
  • Платформа оптимизирована для использования технологи iWAN (Intelligent WAN);
  • Маршрутизаторы поддерживают новые форм-факторы модулей. Например, вместо EHWIC используется NIM;
  • Модульное программное обеспечение Universal IOS XE.

Схема соответствия между новыми маршрутизаторами ISR 4000 Series и маршрутизаторами ISR G2:

Схема лицензирования новых маршрутизаторов полностью совпадает со схемой лицензирования маршрутизаторов ISR G2 2900/3900.

Какой функционал отсутствует в IOS XE для Cisco ISR 4000?

На маршрутизаторах Cisco ISR 4000 на данный момент (май 2019) не удастся настроить доступные ранее (на ISR G1/G2):

  • SSL VPN (в том числе для подключения через клиент Anyconnect);
  • VXML скрипты, например, для реализации функций авто-секретаря;
  • функции межсетевого экранирования на базе технологии CBAC. При этом есть поддержка ZBF.
Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?

Для маршрутизаторов Cisco ISR 4000 существует два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN).

Лицензирование IOS XE может быть реализовано двумя схемами:

  • классическая схема лицензирования,
  • схема лицензирования на основе подписок DNA.
Классическая схема включает следующие лицензии:

IP Base – только функции маршрутизации; в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.

SEC (Security) – включает функции безопасности: межсетевой экран и VPN (IPSec, DMVPN и пр.).

UC (Unified Communications) – функций передачи голоса (кроме ISR 4221).

AppX – лицензия Application Experience включает поддержку следующих технологий:

  • WaaS (Wide Area Application Services) - оптимизация каналов связи между офисами.
  • AVC (Application Visibility and Control) совместно с NBAR2 - распознавание приложений.
  • Cisco Performance Routing (PfRv3) - интеллектуальное распределение трафика приложений по существующим каналам связи.
  • Overlay-технологии: LISP, OTV, VPLS, EoMPLS.
  • Другие технологии: IP SLA, L2TPv3, MPLS, Akamai Connect.

Используется один универсальный образ ПО IOS XE. Каждый тип функционала IOS открывается отдельной лицензией. IP Base идет в базовой поставке.

Замечания:

  • Существует специальный IOS с убранными функциями шифрования. В его названии идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия SEC. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию SEC-NPE. Все остальные лицензии (UC и AppX) могут быть использованы для IOS NPE без ограничений.
  • HSEC позволяет снять ограничение SEC лицензии: 250 Мбит/с шифрования и 1000 туннелей (для версии 16.8.1 и выше).
  • Часть функций, например, CUCMe, CUBE, SSL VPN и пр. лицензируются отдельно.
  • Для маршрутизаторов существует бандл AX. Этот бандл включает в себя лицензии AppX и SEC.
  • Для ISR 4000 существуют лицензии Performance и Booster Performance, которые программно увеличивают производительность устройства.

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center. Cisco DNA Center – контролер, отвечающий за централизованное управление, автоматизацию, аналитику и безопасность в сети. 

Доступно три вида подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Cisco DNA Essentials Cisco DNA Advantage Cisco DNA Premier
Encrypted Traffic Analytics (ETA*) - Да Да
Software-Defined Access (SD-Access) - Да Да
Расширенный контроль состояния сети (Assurance) - Да Да
Базовая автоматизация и мониторинг Да Да Да
Лицензии на ISE и Stealthwatch - Покупаются отдельно Включены
Классические технологии IP Base + SEC IP Base + SEC + AppX IP Base + SEC + AppX
* ETA – технология обнаружения вредоносного трафика, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки TLS-сессии.
Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?

Для маршрутизаторов Cisco ISR 1000 существует два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN).

Схема лицензирования IOS XE следующая:

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 50 Мбит/с. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.
IPSec Performance (VPERF) – увеличивает скорость шифрования до 150 Мбит/с для ISR 1100-4P и 250 Мбит/с для ISR 1100-8P; покупается вместе с лицензией SEC.
HSEC - лицензия HSEC полностью снимает ограничения на шифрование; покупается вместе с лицензией SEC.

Замечания:
  • Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
  • Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Для IOS XE-SDWAN в рамках архитектуры SD-WAN доступны лицензии в виде подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Поддерживает ли маршрутизатор Cisco с лицензией IP Base функционал IP SLA?

Нет. Для работы IP SLA технически необходима одна из лицензий SEC, SECNPE, UC или AppX. Официально использовать IP SLA можно только при наличии лицензии AppX.