Маршрутизаторы

• Cisco 880 – нельзя;
• Cisco 891 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-890-RM-19);
• Cisco 900 – можно для моделей C921-4P/C931-4P/C921-4PLTEXX, комплект для монтажа в стойку приобретается отдельно (ACS-900-RM-19);
• Cisco 1100 – можно, комплект для монтажа в стойку приобретается отдельно (ACS-1100-RM-19);
• Cisco 4000 – можно, «уши» идут в комплекте.

Маршрутизаторы Cisco ISR 4000 Series были выпущены на замену серии маршрутизаторов Cisco ISR G2 2900, 3900 (на данные модели объявлен EoS).

Основные отличия новых маршрутизаторов:

• Более производительные (за счёт многоядерной архитектуры); производительность не деградирует при включении сервисов (NAT, ZFW и пр.);
• Возможность увеличения производительности ключом активации. Например, было 50Мбит/с, ввели ключ, получили 100 Мбит/с;
• Виртуализация приложений – можно запускать различные приложения (например, WAAS, Snort и пр.) на базе маршрутизатора без потери в производительности и дополнительных модулей;
• Платформа оптимизирована для использования технологи iWAN (Intelligent WAN);
• Маршрутизаторы поддерживают новые форм-факторы модулей. Например, вместо EHWIC используется NIM;
• Модульное программное обеспечение Universal IOS XE.

Схема соответствия между новыми маршрутизаторами ISR 4000 Series и маршрутизаторами ISR G2:

Схема лицензирования новых маршрутизаторов полностью совпадает со схемой лицензирования маршрутизаторов ISR G2 2900/3900.

Catalyst 8000 – новые маршрутизаторы компании Cisco (ноябрь 2020). Они представлены тремя линейками: Catalyst 8200, 8300 и 8500. Платформы построены на базе IOS XE. Основное отличие – аппаратная часть: в Catalyst 8200/8300 для обработки трафика используются современные многоядерные процессоры x86, в 8500 – Cisco QFP 3.0. Производительность устройств существенно повышена по сравнению с более старыми маршрутизаторами вендора. Также обеспечена поддержка широкого спектра портов: 1/10/40/100G.

Данные маршрутизаторы могут использоваться, как в формате отдельных устройств, так и в составе фабрики SD-WAN.

Catalyst 8200/8300 в плане ценовой политики наиболее близки к ISR 4300/4400. При этом предоставляют большую производительность.

Catalyst 8500 наиболее близки к маршрутизаторам ASR 1000. Аналогично, предлагая улучшенные технические характеристики.

Схема лицензирования маршрутизаторов Catalyst 8000 одна – подписки DNA. На момент приобретения подписка DNA является обязательной. В дальнейшем её можно не продлевать, если требуемая функциональность покрывается бессрочным пакетом Network Essentials или Advantage.

На маршрутизаторах Cisco ISR 4000 на данный момент (май 2019) не удастся настроить доступные ранее (на ISR G1/G2):

• SSL VPN (в том числе для подключения через клиент Anyconnect);
• VXML скрипты, например, для реализации функций авто-секретаря;
• функции межсетевого экранирования на базе технологии CBAC. При этом есть поддержка ZBF.

Cisco ISR4xx представляют собой модульные маршрутизаторы с возможностью установки дополнительных интерфейсов в базовое шасси. Среди таких интерфейсов есть Ethernet Routed-Port, Wireless WAN (3G, 4G), T1, E1 and G.703, Serial WAN, Async WAN, ISDN и др. Также эта серия поддерживает голосовые функции и модули, и может выполнять функции голосового шлюза или АТС.

Серия Cisco ISR11xx представляет собой немодульные модели маршрутизаторов без голосовых функций.

Схема лицензирования IOS для ISR 900 следующая:

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 150 Мбит/с для ISR 920 и до 250 Мбит/с для ISR 930. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.

Замечания:

• Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
• Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Маршрутизаторы ISR 900 не поддерживаются в архитектурах SD-Access и SD-WAN.

До версии Cisco IOS XE 17.2.1 для маршрутизаторов Cisco ISR 1000 существовало два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN). Начиная с версии 17.2.1 образ операционной системы единый.

Лицензирование маршрутизатора может быть реализовано двумя схемами:

• классическая схема лицензирования,
• схема лицензирования на основе подписок DNA.

Классическая схема лицензирования

IP Base – базовые функции маршрутизации (Routing protocols, ACL, NAT, QoS и пр.); в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.
SEC – включает функции безопасности: межсетевой экран и VPN (IPsec, DMVPN и пр.). Скорость шифрования до 50 Мбит/с. 
APP – лицензия Application Experience, активирует поддержку следующих функций: L2TPv3, MPLS, PfRv3, NBAR2, AVC, IPSLA Initiator, LISP, VPLS, Ethernet over MPLS.
IPSec Performance (VPERF) – увеличивает скорость шифрования до 150 Мбит/с для ISR 1100-4P и 250 Мбит/с для ISR 1100-8P; покупается вместе с лицензией SEC.
HSEC - лицензия HSEC полностью снимает ограничения на шифрование; покупается вместе с лицензией SEC.

Замечания:

• Существует специальный IOS с убранными функциями шифрования вообще. В его название идет аббревиатура NPE – Non Payload Encryption;
• Для IOS NPE не подходит стандартная лицензия Security. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию Security NPE (SEC-NPE).

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center или же vManage. Более подробно она рассмотрена в вопросе «Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?».

До версии Cisco IOS XE 17.2.1 для маршрутизаторов Cisco ISR 4000 существовало два образа операционных систем: IOS XE и IOS XE-SDWAN (используется в решении SD-WAN). Начиная с версии 17.2.1 образ операционной системы единый.

Лицензирование маршрутизатора может быть реализовано двумя схемами:

• классическая схема лицензирования,
• схема лицензирования на основе подписок DNA.

Классическая схема включает следующие лицензии:

IP Base – только функции маршрутизации; в минимальном варианте этого достаточно, чтобы подключиться к сети Интернет.

SEC (Security) – включает функции безопасности: межсетевой экран и VPN (IPSec, DMVPN и пр.).

UC (Unified Communications) – функций передачи голоса (кроме ISR 4221).

AppX – лицензия Application Experience включает поддержку следующих технологий:

• WaaS (Wide Area Application Services) - оптимизация каналов связи между офисами.
• AVC (Application Visibility and Control) совместно с NBAR2 - распознавание приложений.
• Cisco Performance Routing (PfRv3) - интеллектуальное распределение трафика приложений по существующим каналам связи.
• Overlay-технологии: LISP, OTV, VPLS, EoMPLS.
• Другие технологии: IP SLA, L2TPv3, MPLS, Akamai Connect.

Используется один универсальный образ ПО IOS XE. Каждый тип функционала IOS открывается отдельной лицензией. IP Base идет в базовой поставке.

Замечания:

• Существует специальный IOS с убранными функциями шифрования. В его названии идет аббревиатура NPE – Non Payload Encryption;
• Для IOS NPE не подходит стандартная лицензия SEC. Чтобы получить функции безопасности (за исключение шифрования, так как оно там вырезано) необходимо использовать лицензию SEC-NPE. Все остальные лицензии (UC и AppX) могут быть использованы для IOS NPE без ограничений.
• HSEC позволяет снять ограничение SEC лицензии: 250 Мбит/с шифрования и 1000 туннелей (для версии 16.8.1 и выше).
• Часть функций, например, CUCMe, CUBE, SSL VPN и пр. лицензируются отдельно.
• Для маршрутизаторов существует бандл AX. Этот бандл включает в себя лицензии AppX и SEC.
• Для ISR 4000 существуют лицензии Performance и Booster Performance, которые программно увеличивают производительность устройства.

Схема лицензирования на основе подписок DNA

Данная схема лицензирования используется при подключении сетевого оборудования к решению Cisco DNA Center или же vManage. Более подробно она рассмотрена в вопросе «Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?».

Данная схема лицензирования обычно используется при управлении маршрутизатором Cisco такими решениями, как Cisco DNA Center или же vManage (SD-WAN). Также подписка DNA является обязательной для маршрутизаторов Catalyst 8000, даже если они работают в автономном режиме (не подключены к какому-либо контроллеру).

Cisco DNA Center – контролер, отвечающий за централизованное управление, автоматизацию, аналитику и безопасность внутри корпоративной сети. vManage – контролер, отвечающий за централизованное управление в рамках архитектуры SD-WAN.

Доступно три вида подписок: Cisco DNA Essentials, Cisco DNA Advantage и Cisco DNA Premier.

Функциональность для каждого вида подписки зависит от того, какое решение будет использоваться для управления маршрутизатором:

• автономный режим,
• Cisco DNA Center,
• vManage (SD-WAN).

Кроме подписки обязательно лицензируется требуемая общая пропускная способность маршрутизатора (bandwidth):

• для решения SD-WAN - общая пропускная способность для любого типа трафика (IPSec, GRE, нешифрованный трафик),
• для автономного режима/Cisco DNA Center - общая пропускная способность для шифрованного IPSec трафика.

Например, если маршрутизатор подключен к двум провайдерам на скорости 50 Мбит/с и 100 Мбит/с, нам потребуется подписка bandwidth на 50*2+100*2=300 Мбит/с.

Для снятия ограничения в 1000 туннелей и производительности шифрования не более 250 Мбит/с требуется заказ лицензии HSEC.

В случае, если на маршрутизаторе нет шифрования (работает в автономном режиме или подключен к DNA Center), то покупается минимальная подписка на bandwidth. В случае Catalyst 8000 – это подписка Tier 0.

Управление через Cisco DNA Center или при работе в автономном режиме*:
* полный и актуальный список сервисов доступен на интерактивной схеме лицензирования на сайте Cisco.

Нажмите, чтобы увеличить изображение

Пакеты Network Essentials/Network Advantage входят в подписки Cisco DNA Essentials/Cisco DNA Advantage. Данные пакеты являются бессрочными.

Важно заметить, что маршрутизатор не обязательно подключать к Cisco DNA Center. В этом случае на маршрутизаторе будут доступны технологии из пакетов Network Essentials/Network Advantage, а также ряд технологий из подписочной части, к-е работают без Cisco DNA Center. Например, AVC или Flexible Netflow.

Управление через Cisco vManage (SD-WAN)*:
* полный и актуальный список сервисов доступен на интерактивной схеме лицензирования на сайте Cisco.

Advantage (включает Essentials)

Essentials

Connectivity and management Unlimited overlays and VPNs Advanced SD-WAN services SD-WAN per-tunnel QoS Service insertion - Tracker Support Cross-domain innovations Integrated border for campus (SD-Access), Integration with Cisco ACI® for application SLA Advanced voice features SIP trunk to UCM FXO, FXS, and FXS/DID interface support SRST T1/E1 PRI for UC DSP farm support Advanced SD-WAN services Web caching DRE (including SSL proxy) Advanced Cloud, Analytics, and Visibility

Connectivity and management Cloud or on-premises management Flexible topology: hub/spoke, full mesh and partial mesh App- and SLA-based routing policy Dynamic Routing (BGP, OSPF) VPNs limited to 4 user + 1 mgmt SD-WAN security Enterprise firewall Cisco AMP SSL proxy URL filtering Umbrella DNS monitoring SD-WAN services Path optimization with FEC and packet duplication Cloud, Analytics, and Visibility Cloud OnRamp for Multicloud (GCP, AWS, Azure) and SaaS (all applications, M365, Webex)

Подписка Cisco DNA Premier

Cisco DNA Premier кроме функционала Cisco DNA Advantage включает в себя:

• Cisco Umbrella SIG Essentials
• Cisco Threat Grid

Интерактивная схема лицензирования доступна на сайте Cisco.

Нет. Для работы IP SLA технически необходима одна из лицензий SEC, SECNPE, UC или AppX. Официально использовать IP SLA можно только при наличии лицензии AppX.