Маршрутизаторы второго поколения (ISR generation 2) получили множество улучшений в производительности, в функциональных возможностях и удобстве управления ими. Но наряду со своими достоинствами ISRg2 принесли и несколько трудностей, связанных с необходимостью использования лицензий для активации многих функций.
Одной из наиболее популярных линеек маршрутизаторов, использующихся преимущественно в филиалах компаний или удаленных точках, является маршрутизаторы серии 800.
Эта серия относится и к ISRg1 и к ISRg2, но если с лицензированием в первом поколении все более-менее понятно, то с последним необходимо разобраться.
Всего в ISRg2 800 серии представлено три линейки маршрутизаторов: 860, 880 и 890.
Все эти маршрутизаторы обладают фиксированной конфигурацией, без возможности установки дополнительных модулей, но возможность увеличения оперативной памяти оставлена в 880, 890, а в 892 можно устанавливать различные типы SFP-модулей. Они имеют встроенную флеш-карту, есть модели с поддержкой IEEE 802.11n, 3G, голосовых возможностей и пр. Ввиду невозможности «доработать» купленный маршрутизатор, нужно быть внимательным при выборе.
880 серия имеет гораздо больший функционал, по сравнению с 860 серией (advanced security, voice, WLAN и WWAN 3G, 3.5G, 3.7G; QoS, hight-availability, 2 PoE порта и улучшенная производительность).
Самыми производительными в 800 линейке, конечно, являются маршрутизаторы 890 серии, которые пришли на замену 1800 серии ISRg1, но не поддерживают 3G и голосовые функции как 880.
Версии поддерживаемых образов IOS представлены в таблице ниже.
Платформа | Релиз IOS |
Cisco 860 | 12.4(20)T и выше |
Cisco 880 | 12.4(20)T и выше |
С881W, C886VA-W, C887VA-W, C887VAM-W | 15.1(4)M и выше |
Cisco 860VAE | 15.1(4)M2, 15.2(2)T и выше |
С880G | 15.1(4)M и выше |
Cisco 890 | 12.4(22)YB5 и выше |
Как и в других ISRg2, в них используются универсальные образы IOS (universal), но доступно только два feature set:
- Advanced Security для Cisco 860 и 880;
- Advanced IP Services для Cisco 880 и 890.
Cisco 860 | Cisco 880 | Cisco 890 | |
Advanced Security | + | + | – |
Advanced IP Services | + | + | + |
Универсальный образ содержит в себе все функции, поддерживаемые выбранной платформой, но некоторые из них программно заблокированы. Для их разблокировки необходимо использовать лицензии.
Если обратиться к Feature Cisco Navigator, то можно увидеть, что для данных линеек доступны следующие образы IOS:
- с860-universalk9-mz – универсальный образ для 860 серии;
- с880data-universalk9-mz – универсальный образ для 880 серии с feature set Data для моделей: C881G, C886VAG, C887VAG, с887VAMG, C888EG;
- с880voice-universalk9-mz – универсальный образ для голосовых решении 880 серии;
- с800-universalk9-mz – универсальный образ для C881W, C886VA-W, C887VA-W и C887VAM-W моделей.
- c890-universalk9-mz – универсальный образ для 890 серии.
По умолчанию маршрутизаторы Cisco 860 и 880 поставляются с Advanced Security, кроме моделей Cisco 880 SRST и 880 3G. В этих моделях сразу доступен Advanced IP Services. В Cisco 890 доступен только Advanced IP Services. Для обновления до Advanced IP Services остальных маршрутизаторов 880 серии необходимо приобретать лицензию. Маршрутизаторы 860 обновить нельзя. Кроме того для активации SSL VPN и IPS возможностей необходимо приобрести еще отдельные лицензии.
Особеностью 800 серии является то, что в Advanced Security не поддерживается DMVPN, GET VPN, IPS и content filter. Что касается, IPSec то тут все в порядке: есть поддержка 3DES, AES c длиной ключа 128, 192 или 256 бит. При этом следует учитывать, что 860 серия поддерживает только до 5 IPSec туннелей, 880 серия – до 20 туннелей, а 890 – до 50.
SSL VPN поддерживается в Cisco 880 в Advanced Security и необходимо использовать лицензию FL-SSLVPN-K9 для IOS 15.0(1)M и новее. На более ранних образах используется FL-WEBVPN-10-K9. Если необходимо обновить IOS до 15.0(1)M данную лицензию можно конвертировать в совместимую на License Migration Portal
C Advanced Security на Cisco 860 доступны основные функции безопасности (site-to-site VPN, IOS Firewall). С Advanced IP Services на 880 серии становятся доступны DMVPN, GET VPN и content filter. Content filter позволяет запрещать доступ к определенным URL по ключевому слову или основываясь на репутации сайта. Для него нужна лицензия SL-CNFIL-88x-1Y, так же есть бесплатные триальные лицензии на 30 дней. Максимум поддерживается до 15 пользователей.
Голосовая поддержка доступна только на моделях 880 серии. CUCME версии 8.6 и выше, а также SRST на 5 пользователей поддерживается на Cisco 881V и 887VA-V.
Лицензирование.
Напомним, что в ISRg2 существует несколько типов лицензий:
- Permanent uncounted – требуется однократная активация, например, обновление с Advanced Security до Advanced IP Services;
- Permament counted – также требуется однократная активация, но ограниченная числом пользователей, например, лицензия SSL. Если необходимо увеличить число пользователей, нужно приобрести новую лицензию;
- Subscription base – используется, например, для обновления баз IPS;
- Временные лицензии, позволяющие использовать необходимые функции сроком до 60 дней.
Для обновления с Advanced Security до Advanced IP Services на 880 серии нужна лицензия L-880-AIS или SL-880-AIS. Установка лицензии происходит стандартно:
- Приобретение PAK (ключ активации);
- Генерация лицензии на основании PAK, серийного номера и product ID устройства;
- Установка лицензии на маршрутизатор и его перезагрузка.
Что касается конкретных примеров, то для 860 серии дополнительных лицензий не предусмотрено.
- SL-860-ADSEC – Cisco 860 Advanced Security Image Feature License (установлена по умолчанию);
В 890 серии также не очень много лицензий:
- FL-SSLVPN25-K9 – Feature license SSLVPN for up to 25 users (incremental), for 15.x based Cisco IOS Software releases only;
- FL-C890-WAASX – WAASx Feature License;
- SL-CNFIL-89x-1Y – One year subscription to Content Filtering for Cisco 890;
- SL-CNFIL-8xx-TRI – 30 day free trial license for 88x series.
А вот в 880 серии лицензий гораздо больше:
- SL-880-ADSEC – Cisco 880 Advanced Security Image Feature License (установлена по умолчанию);
- SL-880-AIS – Cisco 880 Advanced IP Services Image Feature License;
- SL-880-ADVSEC-NPE – Cisco 880 Advanced Security NPE License;
- SL-880-AIS-NPE – Cisco 880 Advanced IP Services NPE License;
- L-SL-800-SEC-K9 – Advanced IP e-Delivery PAK for Cisco 800 Series;
- SL-SRST880-AIS – Cisco 880 Advanced IP Services Image Feature License (включена по умолчанию);
- SL-880-AIS and SL-880-ADVSEC – Cisco 880 Advanced IP Services and Security Image Feature License for 3G, Embedded 3G and CUBE models (включена по умолчанию);
- SL-CNFIL-88x-1Y – One year subscription to Content Filtering for Cisco 881/888-URL/Phishing;
- SL-CNFIL-8xx-TRI – 30 day free trial license for 88x series;
- FL-WEBVPN-10-K9 – Feature License SSL VPN for Up to 10 Users (incremental), for 12.4T based IOS releases only;
- FL-SSLVPN10-K9 – Feature License SSL VPN for Up to 10 Users (incremental), for 15.x based IOS releases only.
Для активации Advanced IP Services и SSL можно воспользоваться 60-ти дневными демо-лицензиями. Для этого, как и для обычной лицензии, необходимо ввести все данные (product ID и S/N), кроме PAK.
Активируя функции SSL, Вы получаете возможность подключать к своей корпоративной сети удаленных пользователей посредством VPN SSL, не беспокоясь, за конфиденциальность передаваемых данных. VPN SSL одновременно гибкое и легкое в управлении решение для построения безопасных VPN каналов. Оно прозрачно для удаленного сотрудника, который может подключиться к сети компании с любого устройства и из любой точки, где есть Интернет. Более подробная информация доступна по ссылке: