...

Лицензирование маршрутизаторов Cisco 800 серии

Маршрутизаторы второго поколения (ISR generation 2) получили множество улучшений в производительности, в функциональных возможностях и удобстве управления ими. Но наряду со своими достоинствами ISRg2 принесли и несколько трудностей, связанных с необходимостью использования лицензий для активации многих функций.

Одной из наиболее популярных линеек маршрутизаторов, использующихся преимущественно в филиалах компаний или удаленных точках, является маршрутизаторы серии 800.

Эта серия относится и к ISRg1 и к ISRg2, но если с лицензированием в первом поколении все более-менее понятно, то с последним необходимо разобраться.

Всего в ISRg2 800 серии представлено три линейки маршрутизаторов: 860, 880 и 890.

Все эти маршрутизаторы обладают фиксированной конфигурацией, без возможности установки дополнительных модулей, но возможность увеличения оперативной памяти оставлена в 880, 890, а в 892 можно устанавливать различные типы SFP-модулей.  Они имеют встроенную флеш-карту, есть модели с поддержкой IEEE 802.11n, 3G, голосовых возможностей и пр. Ввиду невозможности «доработать» купленный маршрутизатор, нужно быть внимательным при выборе.

880 серия имеет гораздо больший функционал, по сравнению с 860 серией (advanced security, voice, WLAN и WWAN 3G, 3.5G, 3.7G; QoS, hight-availability, 2 PoE порта и улучшенная производительность).

Самыми производительными в 800 линейке, конечно, являются маршрутизаторы 890 серии, которые пришли на замену 1800 серии ISRg1, но не поддерживают 3G и голосовые функции как 880.

Версии поддерживаемых образов IOS представлены в таблице ниже.

ПлатформаРелиз IOS
Cisco 86012.4(20)T и выше
Cisco 88012.4(20)T и выше
С881W, C886VA-W, C887VA-W, C887VAM-W15.1(4)M и выше
Cisco 860VAE15.1(4)M2, 15.2(2)T и выше
С880G15.1(4)M и выше
Cisco 89012.4(22)YB5 и выше

Как и в других ISRg2, в них  используются универсальные образы IOS (universal), но доступно только два feature set:

  • Advanced Security для Cisco 860 и 880;
  • Advanced IP Services для Cisco 880 и 890.
 Cisco 860Cisco 880Cisco 890
Advanced Security++
Advanced IP Services+++
cisco licenses

Универсальный образ содержит в себе все функции, поддерживаемые выбранной платформой, но некоторые из них программно заблокированы. Для их разблокировки необходимо использовать лицензии.

Если обратиться к Feature Cisco Navigator, то можно увидеть, что для данных линеек доступны следующие образы IOS:

  • с860-universalk9-mz – универсальный образ для 860 серии;
  • с880data-universalk9-mz – универсальный образ для 880 серии с feature set Data для моделей: C881G, C886VAG, C887VAG, с887VAMG, C888EG;
  • с880voice-universalk9-mz – универсальный образ для голосовых решении 880 серии;
  • с800-universalk9-mz – универсальный образ для C881W, C886VA-W, C887VA-W и C887VAM-W моделей.
  • c890-universalk9-mz – универсальный образ для 890 серии.

По умолчанию маршрутизаторы Cisco 860 и 880 поставляются с Advanced Security, кроме моделей Cisco 880 SRST и 880 3G. В этих моделях сразу доступен Advanced IP Services. В Cisco 890 доступен только Advanced IP Services.  Для обновления до Advanced IP Services остальных маршрутизаторов 880 серии необходимо приобретать лицензию. Маршрутизаторы 860 обновить нельзя. Кроме того для активации SSL VPN и  IPS возможностей необходимо приобрести еще отдельные лицензии.

Особеностью 800 серии является то, что в Advanced Security не поддерживается DMVPN, GET VPN, IPS и content filter. Что касается, IPSec то тут все в порядке: есть поддержка 3DES, AES c длиной ключа 128, 192 или 256 бит. При этом следует учитывать, что 860 серия поддерживает только до 5 IPSec туннелей, 880 серия – до 20 туннелей, а 890 – до 50.

SSL VPN поддерживается в Cisco 880 в Advanced Security и необходимо использовать лицензию FL-SSLVPN-K9 для IOS 15.0(1)M и новее. На более ранних образах используется FL-WEBVPN-10-K9. Если необходимо обновить IOS до 15.0(1)M данную лицензию можно конвертировать в совместимую на License Migration Portal 

C Advanced Security на Cisco 860 доступны основные функции безопасности (site-to-site VPN, IOS Firewall). С Advanced IP Services на 880 серии становятся доступны DMVPN, GET VPN и content filter. Content filter позволяет запрещать доступ к определенным URL по ключевому слову или основываясь на репутации сайта. Для него нужна лицензия SL-CNFIL-88x-1Y, так же есть бесплатные триальные лицензии на 30 дней. Максимум поддерживается до 15 пользователей.

Голосовая поддержка доступна только на моделях 880 серии. CUCME версии 8.6 и выше, а также SRST на 5 пользователей поддерживается на Cisco 881V и 887VA-V.

Лицензирование.

Напомним, что в ISRg2 существует несколько типов лицензий:

  • Permanent uncounted – требуется однократная активация, например, обновление с Advanced Security до Advanced IP Services;
  • Permament counted –  также требуется однократная активация, но ограниченная числом пользователей, например, лицензия SSL. Если необходимо увеличить число пользователей, нужно приобрести новую лицензию;
  • Subscription base – используется, например, для обновления баз IPS;
  • Временные лицензии, позволяющие использовать необходимые функции сроком до 60 дней.

          Для обновления с Advanced Security до Advanced IP Services на 880 серии нужна лицензия L-880-AIS или SL-880-AIS. Установка лицензии происходит стандартно:

  1. Приобретение PAK (ключ активации);
  2. Генерация лицензии на основании PAK, серийного номера и product ID устройства;
  3. Установка лицензии на маршрутизатор и его перезагрузка.

Что касается конкретных примеров, то для 860 серии дополнительных лицензий не предусмотрено.

  • SL-860-ADSEC – Cisco 860 Advanced Security Image Feature License (установлена по умолчанию);

В 890 серии также не очень много лицензий:

  • FL-SSLVPN25-K9 – Feature license SSLVPN for up to 25 users (incremental), for 15.x based Cisco IOS Software releases only;
  • FL-C890-WAASX – WAASx Feature License;
  • SL-CNFIL-89x-1Y – One year subscription to Content Filtering for Cisco 890;
  • SL-CNFIL-8xx-TRI – 30 day free trial license for 88x series.

А вот в 880 серии лицензий гораздо больше:

  • SL-880-ADSEC – Cisco 880 Advanced Security Image Feature License (установлена по умолчанию);
  • SL-880-AIS – Cisco 880 Advanced IP Services Image Feature License;
  • SL-880-ADVSEC-NPE – Cisco 880 Advanced Security NPE License;
  • SL-880-AIS-NPE – Cisco 880 Advanced IP Services NPE License;
  • L-SL-800-SEC-K9 – Advanced IP e-Delivery PAK for Cisco 800 Series;
  • SL-SRST880-AIS – Cisco 880 Advanced IP Services Image Feature License (включена по умолчанию);
  • SL-880-AIS and SL-880-ADVSEC – Cisco 880 Advanced IP Services and Security Image Feature License for 3G, Embedded 3G and CUBE models (включена по умолчанию);
  • SL-CNFIL-88x-1Y – One year subscription to Content Filtering for Cisco 881/888-URL/Phishing;
  • SL-CNFIL-8xx-TRI – 30 day free trial license for 88x series;
  • FL-WEBVPN-10-K9 – Feature License SSL VPN for Up to 10 Users (incremental), for 12.4T based IOS releases only;
  • FL-SSLVPN10-K9 – Feature License SSL VPN for Up to 10 Users (incremental), for 15.x based IOS releases only.

Для активации Advanced IP Services и SSL можно воспользоваться 60-ти дневными демо-лицензиями. Для этого, как и для обычной лицензии, необходимо ввести все данные (product ID и S/N), кроме PAK.

Активируя функции SSL, Вы получаете возможность подключать к своей корпоративной сети удаленных пользователей посредством VPN SSL, не беспокоясь, за конфиденциальность передаваемых данных. VPN SSL одновременно гибкое и легкое в управлении решение для построения безопасных VPN каналов. Оно прозрачно для удаленного сотрудника, который может подключиться к сети компании с любого устройства и из любой точки, где есть Интернет. Более подробная информация доступна по ссылке:

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6657/product_data_sheet0900aecd80405e25.html

Ответить