IOS. Версии, лицензии и что делать в РФ

    У начинающих cisco-водов много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

    Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

    Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.

    Отдельная тема: функционал IOS. Чтобы вас не запутать, давайте разделим: IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

    Примечание: версий 12.5, 13 и 14 никогда не было. По легенде, 13 – несчастливое число в США, а 14 – в Японии.
    Примечание 2: маршрутизатор 86х хоть и относится формально к G2, о выпущен раньше остальной линейки. Имеет IOS 12.4 и не лицензируется (т.е. работает так же, как G1)

    ISR G1:
    В версиях до 15 фичи IOSов можно было разделить на несколько типов:
    1. Security. Позволяет сделать VPN разного вида, МСЭ, IPS и защитить сам маршрутизатор.
    2. Enterprise. Позволяет обрабатывать не только IPv4, например, IPX, CLNP. Раньше только в него включали IPv6. Сейчас этот протокол есть и в Base
    3. Unified communications. Всевозможные телефонные фичи, типа CUCM, gateway, gatekeeper и пр.
    4. IP Base. Минимальный набор. Даже ip sla нет! Я стараюсь IP Base не оставлять.

    Самих IOSов было гораздо больше, т.к. они могли сочетать разные фичи. Подробно узнать, какие возможности есть в каком IOS можно в цискином удобном фича-навигаторе.
    _______________
    UPD от 3.04.11

    Названия линеек IOSов в 12 версии

    IP Base
    IP Voice
    Advanced Security
    SP Services
    Enterprise Base
    Advanced IP Services
    Enterprise Services
    Advanced Enterprise Services
    ________________

    С 15 версии возможности называются почти так же
    1. Security
    2. DATA
    3. UC
    4. Base

    15 версия IOS содержит в себе ВСЕ возможности. Для ISR G1 это означает, что можно закачать свежий IOS 15 версии и не бояться. Т-линейка, как и прежде, содержит в себе больше возможностей, но считается менее стабильной.

    Зачем же выделять группы фич, если они все доступны? А вот зачем: в ISR G2 внедрена система лицензирования фич, примерно как на ASA. Т.е. залить в ISR G2 другой IOS и получить другой функционал, как привыкли делать в ISR G1, не получится. Нужно покупать лицензии на нужный функционал. Так cisco борется с изобилием «не совсем легальных установок» продвинутого функционала. Ведь IP BASE стоит гораздо дешевле, чем нужный bundle, а значит можно «сэкономить». И хоть формально за это можно пожурить, но если вы не покупали поддержку от cisco (SmartNet), то о факте такой замены никто не узнает.

    Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для 15 версии IOS такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2 нотификацию и ввозить на территорию РФ такие циски беспрепятственно (ISR G1 легко ввозятся с IOS IP Base). Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
    Но если очень хочется…

    Недавно появилась такая возможность: на 12 лет получить «технологические лицензии» на шифрование (SecurityK9, UCk9, DATAk9). Для этого можно сделать так:

    1. Найти где-нибудь IOS не NPE, т.е. без NPE в названии, т.е., например, вот такой: c2900-universalk9-mz.SPA.151-3.T.bin.
    2. ИОС не ниже версий: 15.0(1)M4, 15.1(1)T2, 15.1(2)T2, 15.1(3)T.
    3. Ввести несколько волшебных команд, которые при некоторой настойчивости находятся так:

    Ro(config)# license boot ?

    и после ввода каждой из строк согласиться с EULA.

    Примечание: я намеренно не привожу точных команд, т.к. не знаю, как отреагируют владельцы Хабра на такой «хак»

    4. Сохраниться
    5. Перезагрузить маршрутизатор, не пугаясь предупреждения, что до конца технологического периода осталось всего ничего: 12 лет :)

    Дисклаймер: пользуемся на свой страх и риск. Регуляторы возможно могут придраться, так что готовьте security action plan отката. Возможны подводные камни, о которых я не знаю. Например, один из тестировщиков решения сообщил, что после заливки лицензий и перезагрузки пропала часть команд ip inspect.
    Share post

    Similar posts

    Comments 31

      0
      Я честно говоря не понял что мешает получить лицензию и установить не NPE релиз? Вот к примеру у 880 серия так же относиться к 860 и имеет advipservices релиз. Но сейчас для них так же выпускают NPE имаджы.
        0
        получить = купить.
        купить лицензию в РФ невозможно, ибо К9, т.е. катерия С3 — подзапретная
          0
          Ну т.е. и раньше нельзя было? Независимо от активации циски.
            0
            Нельзя. Так и сейчас вы получаете «хак» — некую «технологическую возможность». На свой страх и риск. Купить вы это не сможете. И доказать регулятору тоже ничего не сможете. Но работать будет :)
              0
              Правда партнеры не очень об этом знают и вполне себе продают :)
            0
            Если мне не изменяет память — SEC лицензию отнесли к С1. Ведь это всего лишь бумажка. А вот активировав ее на IOS с Payload Encryption в РФ можно получить по мозгам… Если не имеешь разрешения. И Cisco об этом официально предупреждала — по запросу ФСБ они предоставляют списки оборудования на территории РФ, на котором активировали строгое шифрование.
              0
              ФСб как бы намекает…
                0
                Изменяет. SEC лицензию для NPE софта туда относили, они отличаются.
                  0
                  Не изменяет.
                  SL-29-SEC-K9= Security Paper PAK for Cisco 2901-2951 C1
                  А вот софт не-NPE — уже С3.
                0
                На складах у дистрибьюторов полно ISR G2 с софтом SEC K9. Вы ничего не путаете? Из того, что хотелось или было нужно, только Wi-Fi контроллеры пятитысячной серии и HSEC лицензии для ISR G2 я не видел. Да и то, мож уже всё поменялось.

                С3 ни разу не есть подзапретная категория. С1 — нет шифрования, С2 — есть слабое, С3 — нужно разрешение на ввоз и эксплуатацию. Циска прямо заявляет, что разрешения эти она получать научилась за разумные сроки (+4 недели к времени поставки). Так что написанное выше имеет смысл только если прижимает время, чтобы купить что-то с K9 софтом, но есть в наличии то же самое с софтом NPE.
                  0
                  Да, но с ISR G2 теперь не достаточно софта. Нужна еще и лицензия на этот самый К9.
                  и еще: К9 разные бывают. ФСБ не нравится лишь шифрование пользовательского трафика, а шифрование трафика управления — пожалуйста. Но при этом это все равно К9.

                  Официально купить бандл Payload Encryption с нужной лицензией без разрешения ФСБ нельзя.

                  Про то, что циска научилась: она то научилась, но ФСБ может легко не разрешить…

                  ЗЫ Все течет, все меняется. Хорошо, что стало проще. Еще совсем недавно все было еще хуже, чем я описываю. Не претендую на всезнание.
                    0
                    то что вы описали в последнем абзаце появилось буквально с НГ. До этого было вообще невозможно активировать стойкое шифрование какое-то время.
                    0
                    Разрешение на ввоз С3 получает не циска, это все делать должен клиент. И тут уже как повезет. Да ФСБшники стали давать разрешения, уже в срок в 3-4 месяца можно получить от них какой то ответ.
                    Часто бывает, что спрашивают через 3 месяца, еще какую-то информацию у клиента. Например, у одного из наших клиентов попросили лицензию на работу с гостайной.
                    После того как ФСБ даст ответ, еще месяц нужен на получение разрешения от минпромторга.

                    Так что ваши + 4 недели, не совсем являются правдой :)
                +4
                Хорошо замаскирован нужный последний абзац целым топиком ^_^
                  0
                  В 12-й версии были не те типы, которые вы указали, а:
                  IP Base
                  IP Voice
                  Advanced Security
                  SP Services
                  Enterprise Base
                  Advanced IP Services
                  Enterprise Services
                  Advanced Enterprise Services
                    0
                    Да, это правда. Вы привели отличный список и если позволите я копипаснту его в топик.

                    Я в топике хотел подчеркнуть ТИПЫ фич и то, что в 15 ИОСе они не изменились. Названия просто стали другими. При помощи комбинации лицензий.
                      0
                      В 12 релизе были вобще-то еще большие градации на ранних релизах для старых железок типа 1700/2600/3600 и общее кол-во при попкупе было более 20 штук. Достаточно посмотреть таблицу№6 в ссылке
                      www.cisco.com/en/US/products/hw/routers/ps221/products_data_sheet09186a0080092102.html.
                      Не удивительно что прежде чем внедрять активацию они 2 раза пересмотрели кол-во лицензии и уменьшили их кол-во и цену. Сейчас в этом плане они адекватнее стали. Доступ к L2base прошивкам для свичей к примеру бесплатен.
                        +1
                        Основная подстава существующей системы лицензирования софта — IP SLA в отдельной лицензии.
                        Route tracking в пролёте.
                          +1
                          С этим согласен, могли оставить хотя бы роут трекинг ip sla для ip base т.к. именно в нем вся маршрутизация и оставленна была. Можно попробовать «поныть» accounting team если вы большая компания и они смогут это изменить в будущих релизах.
                    –1
                    Когда увидел статью, думал, будет ли упоминаться «фишка-хак».
                    И если честно, думал что будет хоть и не полный, но «how to» по активации лицензий на 15-ой ветке.
                      0
                      Вы не обнаружили how-to?

                      Если нужны подробные инструкции, то они описаны на моем ресурсе (anticisco) в блоге.
                        –1
                        Да мне не нужно, просто описал свои ожидания.
                      0
                      4. IP Base. Минимальный набор. Даже ip sla нет! Я стараюсь IP Base не оставлять.

                      Не соглашусь, так как, например, для 1751 в IP Base есть IP SLA. Возможно, для каких-то платформ его в IP Base и нет (или есть только респондер), но часть платформ G1 этот функционал все-таки имеет.
                        0
                        Ну за все не скажу — возможно. Но в 29 и 39 точно нет. А это уже не мало.
                        0
                        Согласен. Кстати, как я понимаю, IP SLA из 12.4 в 15.0 перекочевал без изменений?
                          0
                          Я полагаю, что только обрастает ещё более новыми фичами. Или вы про что?
                            0
                            Например, очень хотелось бы, чтобы механизм формирования ICMP Echo тестов стал аналогичен механизму UDP Jitter в плане частоты повторения теста и его скедулинга, а то есть некоторые проблемы с системами мониторинга, когда нужно именно Echo запустить (когда поднять респондер не представляется возможным).
                            Но это, так сказать, мечты)
                          0
                          Возник вопрос, cisco продают лицензии соотв на разные фичи — sec, uc, etc.
                          Эти лицензии под NPE или они подходят по любые версии IOS?
                            0
                            Нет. Есть лицензии NPE, они для ИОСов NPE, есть лицензии обычные — они для обычных. Касается секурных фич (seck9, кажется uck9)
                              0
                              Обычные — так же сложно достать как и NPE (насколько я понимаю — до полугода, пока ФСБ будет «думать)?
                            0
                            Обычные — так же сложно достать как и NPE (насколько я понимаю — до полугода, пока ФСБ будет «думать)?

                            Only users with full accounts can post comments. Log in, please.