思科IOS12.3的特性

思科的IOS 12.3和其子版本不僅包含增加的基本變化和漏洞修復。還有很多其他的，包括網絡准入控制(NAC)，最優邊緣路由，動態多點VPN，IPSec全狀態故障恢復等。下面一起和小編來看看吧!

　　網絡准入控制(NAC)

思科的NAC運行在思科路由器上(運行在交換機上的NAC將很快出現)，要使用NAC，你還需要在網絡中的每台PC上安裝客户端軟件(思科認證代理)。網絡上需要有思科安全接入控制服務器(ACS)。在PC能夠訪問網絡之前，檢測其防病毒定義版本(你也可以讓NAC檢測其他軟件版本)。如果該PC沒有需要的版本，它就不能訪問網絡，取而代之的是，它被隔離在一個專用網中以進行必要的升級。微軟已經出品了類似的產品，稱為網絡接入防護(NAP)。幸運的是，這兩家公司已經聯手嘗試使他們具有競爭性的產品相互兼容。

　　入侵防護系統

在IOS 12.0(5)T中，思科引入了一個入侵檢測系統(IDS)。該版本只提供59個特徵來識別入侵。這些特徵不能升級。因此，隨着新的入侵類型的出現，IOS不再有保護作用。在IOS 12.3(11)T中，思科提供包括118條特徵的入侵防護系統(IPS)，新的IPS中最重要的不同，在於它允許用户隨着新的攻擊手段被發現而增加新的特徵。它通過使用一個位於路由器閃存上的特徵定義文件(SDF)來實現這一點。用户可以提交新的IPS警報並且查看思科入侵防護警報中心上現有的警報。當通過路由器的一個數據包符合某個特徵時，路由器可以被配置為向網絡管理員報警或者丟棄該數據包併發送一個警報。思科宣稱新的設計，不會影響路由器的性能。

　　最優邊緣路由(OER)

OER是一個允許在廣域網邊緣進行負載均衡的新特性。在我的公司，我擁有兩條連接到Internet的運行BGP最優路由的T1線路。儘管它確實給我們帶來了宂餘，但對負載均衡卻無所作為。這是因為一個提供商是Tier 1，而另一個是Tier 1提供商幾乎總是提供更短的路徑而且幾乎所有流量通過該線路。我們曾嘗試使用權重和多出口標識(MED)進行負載均衡，但這並不總是有效。OER應該能夠解決這類負載均衡問題。通過OER，你可以定義延遲策略，吞吐量和鏈路開銷參數。路由器使用該策略決定如何平衡通過你的多個廣域網鏈路的負載。這些基本上都是Internet連接，但是也可能是其他類型的廣域網連接。OER不僅支持靜態路由，還支持BGP協議。所有這些可以在路由器的IOS上進行配置。如果你想有一個圖形界面以控制更復雜的OER環境，你可以購買一個基於Linux的附加OER產品，稱為OER主控制器引擎。

　　企業版自動QoS

AutoQoS(自動服務質量)是一個新特性，它能夠發現網絡中的流量類型以及接口速度，然後根據最優方法為該流量配置合適的網絡質量。該特性最初是為廣域網上的`音頻和視頻質量而設計，但是它也可以用在許多其他事情上。AutoQoS可以在幾分鐘內完成可能需要一位網絡專家幾小時完成的事情。缺點是AutoQoS並不完美，它對網絡中的任何可能的改變不會做任何反應，而且一旦它被配置，你仍需要一位網絡專家分析其結果並確保其正常運行。

　　自動安全

自動安全(AutoSecure)分析路由器的安全設置並且可以為你進行修改。

CallManager Express(CME)和Survivable Remote Site Telephony(SRST)

CallManager Express(CME)已經從允許路由器作為一個非常有限的，單機的，IP層語音(VoIP)電話系統進化到具有良好性能的(路由器上)中型企業(SME)電話系統。關於遠程電話應急呼叫(SRST)，勾勒出一個擁有中央管理的CallManager(思科 VoIP電話系統)，具有許多遠程辦公地點的大型企業。在那些遠程地點，路由器會配置SRST，所以如果到中央CallManager的廣域網連接丟失，啟用SRST的路由器可能向遠程電話提供有限的呼叫特性。

　　動態多點VPN(DMVPN)

從技術上講，這個特性出現在12.2(13)T中，但是它太酷了，所以我想介紹一下它。DMVPN允許路由器根據需要在Internet上動態地建立雙方的VPN隧道。然而更方便的是，這些隧道只需要非常簡單的配置。在過去，要建立一個完全網狀連結的VPN網絡，必須對每個遠程站點的路由器(或VPN連接器)進行相當多的配置。隨着遠程站點的增多，同時增長的VPN隧道成為了麻煩事，而且所有配置難以處理。有了DMVPN，一個完全網狀連結的VPN網絡可以伸縮，而且VPN隧道只在需要時建立。

　　IPSec全狀態故障恢復

這個特性確實就像它的名字所説的那樣。你有兩個路由器，它們都有IPSec隧道，以熱備用路由協議(HSRP)連接到LAN.如果一台路由器發生故障，在計劃的或非計劃的情況下，備份路由器會取代它而且IPSec隧道永遠不會被終止。儘管這項技術可以在高端VPN連接器中見到，但是將它免費地包括在路由器的IOS中是非常好的意外收穫。

　　基於網絡的應用識別(NBAR)

多數路由器只是考慮第三層的通信。通過NBAR，路由器可以縱觀四到七層。這意味着路由器可以識別應用。一旦它識別出應用，它就可以採取某些措施以確保該應用獲得更高的優先權，丟棄來自其他應用的數據包，或採取其他措施。NBAR已經出現在IOS 12.0中，但它只能識別少量的應用。IOS 12.3中不同以往的是，NBAR可以識別更多的應用而且可以使用PDLM(數據包描述語言模塊)動態地增加新的應用。思科定期發佈新應用的新PDLM.你可以在他們的PDLM Web頁面上找到該列表(需要有效的CCO登錄)。

　　思科安全設備管理器(SDM)

SDM是路由器的一個免費Java管理工具。它需要IOS 12.2或12.3，這依賴於你的路由器模式。

　　透明防火牆

假設你想在兩個網絡之間增加一個防火牆。通常，和一個路由器類似，防火牆的每個接口必須對應不同的網絡。這聽起來像一個大的網絡變更，是嗎?或許不必再如此複雜。在IOS 12.3(7)T中，思科引入了透明防火牆。工作在第二層的透明防火牆的好處是它可以用最小的配置增加到現有網絡中，而且它向該網絡提供防火牆安全。實際上，你可以在運行第三層防火牆特性的同一個路由器運行第二層透明防火牆。在其更基礎的形式中，透明防火牆以這樣的方式工作：你創建一個橋組，將你的接口放進去，在某個接口上啟用“ip inspect”建立一個將被應用在其他接口上的訪問列表，那麼，你的透明防火牆就做好了。

　　熱升級

熱升級允許一個運行中的路由器查看IOS鏡像，解壓它並直接啟動它。這樣做使得不必關閉路由器，回到ROMMON，導入鏡像並解壓鏡像。思科認為這是對在IOS 12.3(2)T中引入的熱重啟特性的補充，並使將路由器重啟的時間從四分鐘減少到兩分鐘。