Cisco IOS version 15

Cisco IOS version 15

MỤC LỤC

Giới thiệu Cisco IOS version 15

Khái niệm Cisco IOS

Cisco IOS (Internetwork Operating System) là hệ điều hành đa nhiệm được sử

dụng rộng rãi trên các sản phẩm Router và Switch của hãng Cisco (Switch cũ hơn sử

dụng CatOS) IOS hỗ trợ các chức năng định tuyến, chuyển mạch, liên kết mạng vàtruyền thông.

Giao diện dòng lệnh của IOS cung cấp các tập lệnh cho từng "kiểu" (mode) vàphân cấp người dùng Với "kiểu cấu hình toàn cục" (global configuration mode), tậplệnh cung cấp cho phép thay đổi các cấu hình hệ thống, và "kiểu cấu hình giao diện"cung cấp các lệnh cấu hình của một giao diện cụ thể Tất cả các lệnh được phân vàocác cấp từ 0 tới 15, và chỉ những người dùng được phân cấp mới có thể sử dụng Cácphân cấp này có thể được định nghĩa qua giao diện dòng lệnh

Các phiên bản Cisco IOS vesion 15

Cisco IOS Software Release 15.2 M&T, 15.1 M&T, 15.0 M, 12.4 M&T: làdòng IOS được thiết kế để chạy trên các thiết bị Cisco Router Integrated ServicesRouter – ISR ( 800, 1800, 2800, 3800 Series) và ISR-2 (Cisco Router 1900, 2900,

3900 Series) Đặc điể của dòng IOS này là được thiết kế để hỗ trợ “đa dịch vụ” như:Routing, Switching, VPN, Firewall, IPS, QoS, Wireless, Unified Communication.Trong mỗi dòng sẽ chia ra ký hiệu “M” và “T”, trong đó các Version (phiên bản) cómang ký hiệu “M” là những phiên bản được phát hành để fix bugs (vá các lỗi versionIOS hiện tại) mà không hỗ trợ thêm tính năng hoặc phần cứng nào mới, Version mang

ký hiệu “T” được phát hành với mục đích chính để hỗ trợ thêm tính năng/ phần cứngmới và fix bugs Như vậy sự thay đổi (hỗ trợ thêm phần cứng, tính năng mới) sẽ rấtlớn nếu nâng cấp từ 15.0 M lên 15.2 T, do đó khi muốn nâng cấp IOS cho thiết bị, cầnlưu ý mục đích khi nâng cấp: để fix bugs => nên nâng cấp lên dòng “M” trong cùngphiên bản (ví dụ: 15.1(3)M lên 15.1(7)M) Cần hỗ trợ thêm hardware hoặc feature mới

=> cần nâng cấp lên dòng “T” cao hơn, có thể sử dụng Cisco Features Navigator đểtìm IOS phù hợp Trong series này, phiên bản mới nhất là 15.2 M&T, phiên bản 15.0

M là phiên bản nâng cấp trực tiếp từ 12.4 M&T

Cisco IOS Software Release 15.1 S, 15.0 S: là dòng IOS được thiết kế để chạytrên dòng thiết bị định tuyến Cisco Router 7600 Series, hỗ trợ các features được sửdụng trong hệ thống mạng của ISP như: MPLS encapsulation, Multicast LabelDistribution Protocol (MLDP), Multicast VPN (MVPN), Virtual Private LAN Service(VPLS)… Trong đó version mới nhất trong series này là 15.1 S

Cisco IOS Software Release 15.0 SY: là dòng IOS được thiết kế để chạy trênCatalyst Switch 6500 với SuperVisor Engine 2T, đây là version nâng cấp của 12.2 SX,

hỗ trợ khả năng chuyển mạch từ phần cứng với các feature sau: IP Address version 6(IPv6), Multiprotocol Label Switching (MPLS) and VPN, Generic RoutingEncapsulation (GRE), Advanced IP Routing and Multicast, Bidirectional ProtocolIndependent Multicast (Bidirectional PIM), Nonstop Forwarding with State fullSwitch Over (NSF/SSO)

Cisco IOS Software Release 12.2 SX: là dòng IOS được thiết kế để chạy trênCatalyst Switch 6500 với các SuperVisor Engine: Sup-32, Sup-720, Sup-720-3B/3BXL, Sup720-3C/3CXL, được sử dụng trong mạng Campus và Service ProviderEdge với các feature được hỗ trợ trực tiếp từ Hardware: MPLS and VPN, IPv6,Advanced IP Routing and Multicast, Integrated Security, NAT/PAT, GRE,Bidirectional PIM, NSF/SSO Phiên bản mới nhất hiện tại đang được sử dụng là12.2(33)SXI.

Khái niệm IOS Universal Image

Trong quá khứ, mỗi khi muốn nâng cấp feature cho Switch / Router nhằm hỗtrợ các tính năng mới, cách duy nhất là phải nâng cấp IOS (ví dụ: từ IP Base lênAdvanced IP Service), nghĩa là phải Copy IOS mới vào Flash: của Router/Switch, đôikhi phải delete IOS cũ do không đủ chỗ để chứa cùng lúc IOS cũ và mới, sau đó cầnphải reboot lại Router/Switch với IOS mới, điều này tưởng chừng rất đơn giản khithực hiện với vài thiết bị Nhưng hãy tưởng tượng, điều gì sẽ sảy ra nếu số lượng thiết

bị cần nâng cấp lên đến hàng trăm, thậm chí hàng nghìn… rõ ràng việc này sẽ đòi hỏi

và tiêu tốn rất nhiều thời gian và nhân lực Do đó các phiên bản về sau (từ IOS version15.0 trở về sau), Cisco hỗ trợ đóng gói tất cả các feature vào 1 phiên bản IOS duy nhấtgọi là “Universal IOS Image”, và được “active” sẵng các feature có trong phiên bản IPBase, lúc này khi khách hàng cần sử dụng thêm các tính năng nào khác (ví dụ: cần sửdụng thêm IPSEC VPN) thì chỉ cần “install license” cho phiên bản “AdvancedSecurity” để “active” các feature có trong phiên bản Advanced Security này

Đặc điểm nổi bật phiên bản 15.0 (1)M

Release 15.0(1) có thêm tính năng hỗ trợ Service Advertisement Framework(SAF) cho phép tự động dò tìm các ứng dụng và các loại dịch vụ ở trong hệ thốngmạng , NETFLOW linh hoạt tích hợp thêm NBAR có khả năng hiển thị lưu lượng vàthống kê từng ứng dụng theo các lớp từ lớp 2 đến 7 Embedded Event ManagerVersion 3.1 được cải tiến các chức năng là dò tìm sự cố , thông báo và khả năng thựchiện các dòng lệnh và hỗ trợ cho Cisco Integrated

Services Routers Generation 2 (ISR G2) ( Cisco tích hợp các dịch vụ định tuyếnthế hệ 2 ) cho các dòng sản phẩm 1900,2900,3900

Bảng liệt kê các tính năng chính và hỗ trợ phần cứng được cung cấp trong phiên bản 15.0 M (nguồn: Cisco IOS Software Release 15 M and T Features and Hardware Support)

• Graceful Restartfor OSPFv3 (RFC5187) (Helper ModeOnly)

• OSPF GracefulShutdown

• OSPF GenericTime to Live (TTL)

DMVPN Spoke Support

AdvertisementFramework (SAF)

• BGP GracefulRestart per Neighbor

• IntermediateSystem-to-

Intermediate System(IS-IS) BFD Support

• IS-IS VRF Support

• MPLS VPN Inter-AS Option AB

-• BGP Route TargetChanges WithoutPE-CE Impact

• IS-IS MIB Support

• MPLS VPN-BGPLocal Convergence

• IGMP Static

Support

• IP Multicast LoadSplitting - EqualCost Multipath(ECMP) using S, Gand Next-hop

• IPv4 and IPv6Multicast Address

Support

• Multicast MIBVRF Support

• Multicast VPNExtranet Support

• Multicast VPNVRF Select

• PIM TriggeredJoins

• RSVP based ReceiverProxy

Interface-• RSVP Fast LinkRepair

• RSVP VRF LiteAware AdmissionControl

• Lightweight IPSEngines for Signatures

• New Default IOS

signatures

• Chaining of TrafficScanning (RegularExpression) Tablesfor IPS

Threshold Limits forIPS Signatures

• GET VPN Aware GDOI on GM

VRF-• Ability to DisableVolume-based IPSecLifetime Rekey

Enhancements

• Cisco UnifiedBorder Element(CUBE) Supportfor SRTP-RTPInternetworking

• Cisco UnifiedBorder Element(CUBE) Supportfor Out-of-dialogSIP OPTIONS Ping

Servers

• UC TrustedFirewall ControlVersion 2

AdvertisementFramework (SAF)Support for UCManager Express,

Các dòng router 1900, 2900, 3900 được tích hợp dịch vụ của Cisco xây dựng trên

25 năm của sự cải tiến và dẫn đầu sản phẩm ISR G2 được tích hợp dịch vụ cho sựphát triển các chi nhánh văn phòng cho phép truyền thông phong phú hơn với video,các ứng dụng nội bộ và khả năng tồn tài và phát triển của mạng diện rộng

Ngoài các dịch vụ được tích hợp sẵn có như: bảo mật, truyền thông hợp nhất,không dây và các dịch vụ tối ưu hoá ứng dụng ISR G2 tích hợp dịch vụ nâng caokhả năng giảm chi phí tổng thể cho 1 chi nhánh văn phòng với sự ra đời của “pay-as-you-grow” (trả phí theo thực tế sử dụng) bản quyền phần mềm và đơn giản hoáviệc đóng gói phần mềm Cisco IOS

Thế hệ thứ 2 của router tích hợp dịch vụ bao gồm 3 dòng sản phẩm tương tựnhư thế hệ hiện tại của ISR: Cisco 1900, 2900, 3900 trong danh mục sản phẩm từcisco 1941 qua cisco 3945 các router cung cấp hiệu suất cao, mật độ hệ số khe vàcác tính năng để phù hợp các nhu cầu của các văn phòng chi nhánh khác nhau chạycác dịch vụ khác nhau

1 Graceful OSPF Restart (RFC 3623)

Graceful OSPF restart cho phép chuyển tiếp liên tục gói tin giữa cácrouter khi mà thông tin định tuyến được lưu trữ để thực hiện switchover(chuyển sang hệ thống dự phòng khi cần nâng cấp hay update)

Khi việc khởi động lại xảy ra, các thiết bị ngang hàng cho phép chuyểntiếp tới router chuyển mạch, mặc dù trong hầu hết các trường hợp mối quan

hệ ngang hàng giữa các thiết bị OSPF cần phải thiết lập lại

Lợi ích:

Tăng khả dụng của mạng bằng cách cho phép các bộ định tuyếnOSPF đi theo con đường chuyển tiếp ban đầu ngay cả khi chương trìnhOSPF được khởi động lại.

Tính năng OSPF graceful shutdown cho phép người quản lý mạng chuyển 1router khỏi mạng mà không làm ảnh hưởng đến luồng dữ liệu Khi người dùngthực hiện lệnh OSPF shutdown sẽ thông báo cho các router hàng xóm nó sẽoffline bằng việc gửi một tin nhắn OSPF chỉ ra tất cả các liên kết có nguồn gốc

từ nó không chuyển tiếp dữ liệu Thêm vào đó nó cũng gửi một tin nhắn đểthông báo cắt liên lạc với các OSPF hàng xóm

Lưu ý rằng các router có thể truy cập sau khi graceful shutdown để sửa lỗihoặc nâng cấp phần mềm hay phần cứng

Lợi ích:

Cho phép nâng cấp phần mềm và phần cứng tại một thiết bị router - ngườidùng có thể ngắt kết nối router khỏi hệ thống mạng, và nâng cấp phần cứnghoặc phần mềm khi cần thiết

Cho phép xác định và sửa lỗi trong router mà không ảnh hưởng đến luồng

dữ liệu sau khi ngắt router, người dùng có thể truy cập vào router để tìm và sửalỗi

3 OSPF Generic Time to Live (TTL) Security Check (GTSM)

Cơ chế bảo mật chung (GTSM) và TLL trong OSPF cung cấp thêm sự bảomật đảm bảo các router OSPF hàng xóm thực hiện chính xác số bước như quiđịnh trong cấu hình Khi 1 router OSPF nhận được một tin nhắn từ OSPF hàngxóm nó so sánh với TTL trong IP header với TTL được cấu hình cho hàng xóm,chỉ khi TTL giống nhau, router OSPF sẽ xử lý tin nhắn từ hàng xóm

Tính năng cấu hình linh hoạt cho phép người dùng cấu hình TTL trên từngOSPF hoặc trên từng interface Khi TTL được cấu hình để xử lý trên từngOSPF nghĩa là TTL dùng để xác định tất cả hàng xóm trên mọi interface củarouter Nếu TTL chỉ được cấu hình trên 1 interface nó sẽ ghi đè lên TTL đượccấu hình theo level

Lợi ích:

Bảo mật đơn giản: tính năng này cung cấp thêm cơ chế bảo mật, nó cho phépcấu hình đơn giản yêu cầu giá trị TTL giữa 2 router OSPF, đảm bảo rằng mộthacker từ xa sẽ không thể hình thành một router liền kề với bất kỳ router nàotrong mạng

Cisco Performance Routing là một giải pháp cho vấn đề định tuyến địa chỉmạng bằng cách thiết lập hệ thống chọn đường thông minh để đến được cácdịch vụ yêu cầu Thêm vào đó, PfR cho phép mạng tính toán tài nguyên đểgiảm tối đa số cost (metric trong OSPF)

PfR lựa chọn ngõ vào và ngõ ra trong mạng WAN dựa trên các thông số

độ tin cậy (reachability), độ trễ (delay), costs, jitter,… đồng thời PfR có khảnăng cân bằng tải thông minh dựa trên các thông số của interface nhưreachability, load, lưu lượng (throughput)…

Cisco Performance Routing (PfR) use case

PfR được triển khai ở cả branch office và headquater Ví dụ từ smalloffice người quản trị muốn gửi tập tin voice với độ trễ thấp nhất và emailvới lưu lượng cao nhất PfR tự động tính toán độ trễ và lưu lượng thông quacác thiết bị ở các node mạng, sau đó thiết lập định tuyến mail thông quaVPN và voice thông qua MPLS cloud

5 Service Advertisement Framework (SAF)

Cisco SAF là giao tiếp lớp 4 xây dựng trên phần mềm Cisco IOS cónhiệm vụ phân tán các gói tin dịch vụ tới các mạng nội bộ (local) và bênngoài (wide area) sử dụng giao thức EIGRP

Các thành phần chính bao gồm: SAF client, SAF forwarder

6 Intermediate System-to-Intermediate System (IS-IS) BFD Support

IS-IS là một giao thức định tuyến nội (IGP) được phát triển năm 1980bởi Digital Equipment Sau đó ISIS được công nhận bởi tổ chức ISO như làmột giao thức định tuyến chuẩn ISIS được tạo ra nhằm các mục đích sau:

- Xây dựng một giao thức định tuyến chuẩn

- Có cơ chế định vị địa chỉ rộng lớn

- Có cơ chế định vị có cấu trúc

- Hiệu quả, cho phép hội tụ nhanh và có phí tổn thấp

Mục tiêu ban đầu của ISIS là tạo ra một giao thức mà tất cả các hệ thống

có thể dùng Tuy nhiên, để có thể đảm bảo một yếu tố thực sự mang tính mở(open), ISO đã cố gắng tích hợp mọi đặc điểm mang tính thuyết phục củacác giao thức định tuyến khác vào ISIS Kết quả là ISIS là một giao thứckhá phức tạp

Phần lớn các nhà cung cấp dịch vụ Internet (ISP) dùng ISIS từ nhữngnăm ISIS được tạo ra Điều này là do ISIS là một giao thức độc lập, có khảnăng mở rộng và đặc biệt nhất là có khả năng định nghĩa “kiểu dịch vụ”trong quá trình routing (ToS routing)

Sự tương tự giữa ISIS và OSPF

ISIS và OSPF có nhiều điểm chung Cả hai đều là giao thức nhómlinkstate và dựa trên giải thuật Dijsktra của SPF Thêm vào đó, cả hai đều

hỗ trợ kiểu thiết kế cấu trúc OSPF được triển khai trong hầu hết các mạngcấp công ty, trong khi ISIS được dùng trong các mạng ISP

Bảng so sánh ISIS và OSPF

Areas - Giới hạn định nghĩa

trên kết nối

- Một router có thể trongmột area

- Giới hạn được địnhnghĩa trên router

- Các cổng giao tiếp củarouter có thể thuộc về các areaskhác nhau

- Level-1 ISIS routers thìtương đương với OSPF stubarea

DR Nếu một router trở thành - Một router có độ ưu tiên

active có độ ưu tiên bằng hoặccao hơn DIS, router mới sẽ trởthành DIS Các quan hệ đượcthiết lập với tất cả các IS trênmạng broadcast.

Mỗi IS sẽ gửi các LSP đến tất

cả các routers theo cơ chếmulticast Các LSP khôngđược ACK

bằng hoặc cao hơn sẽ khôngtrở thành DR

- Các quan hệ được thiêtlập giữa các router với DR vàBDR

- Tất cả các LSA đều cóACK

Encapsulation ISIS chạy trên nền layer-2

ISIS là một layer-3 giao thứcvới cấu trúc packet riêng

OSPF là một ứng dụng IP

Có OSPF header và nằm bêntrong IP

Fragmentation là trách nhiệmcủa IP

Lan flooding Tât cả các IS sẽ thiết lập quan

hệ với các IS khác

DIS gửi CSNP tới tất cả cácrouter khác

Định kỳ CSNP sẽ được gửi đểdatabase được đồng bộ

Multicast thông tin cập nhậtđược gởi từ DR

Unicast ACK được gởi từ DR

LSP được mã hóaCác LSP không được nhận ra

sẽ bị flood trên mạng

Có 7 kiểu LSACác unrecognized sẽ bị dropLSA thông tin cập nhật đượcgửi bởi tất cả các routers

Khái niệm BFD (Bidirectional Forwarding Detection): là một giao thức tìm

kiếm được thiết kế để phát hiện lỗi giữa 2 thiết bị được kết nối trực tiếp

Lợi ích:

- Phát hiện lỗi chưa đầy 1 giây

- Cho phép cơ chế phát hiện lỗi chung và phù hợp cho IS-IS

- Giảm chu kỳ CPU

Khái niệm VPN: Các mạng VPN truyền thống sử dụng các chức năng

bảo mật như: tạo đường hầm (Tunneling), mã hoá dữ liệu (Encription),

nhận thực (Authentication) với mục đích đạt được khả năng bảo mật khitruyền dữ liệu giữa hai đầu cuối.

Khái niệm MPLS VPN: Không giống như các mạng VPN truyền thống,

các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa góitin để đạt được mức độ bảo mật cao MPLS VPN sử dụng bảng chuyểntiếp và các nhãn “tags” (label) để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phânphối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPNlúc này nằm hoàn toàn trong phần lõi của mạng

Mô hình MPLS VPN Inter-AS Option AB

Ưu điểm của MPLS VPN:

- Không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chứcnăng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấpdịch vụ và hoàn toàn “trong suốt” đối với các CPE Các CPE khôngđòi hỏi chức năng VPN và hỗ trợ IPSec điều này có nghĩa là kháchhàng không phải chi phí quá cao cho các thiết bị CPE

- Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyểntrong mạng không phải thông qua các hoạt động như đóng gói và mãhóa

- Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trongcác mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được

sự an toàn thông tin do không có kết nối với mạng Internet côngcộng

- Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nốiduy nhất cho mỗi remote site So sánh với mạng Frame Relay truyềnthống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ