Cisco IOS. Версии, лицензии и что делать

Третьего дня столкнулся с проблемой: бутнули удаленную циску и все — тапки, вот она была и нету…
По connected network с соседнего устройства циска оказалась доступна == слетела маршрутизация. Зашел, проверил, действительно — никаких упоминаний о маршрутах статика/динамика в running-config нет…
А в startup-config — есть, странно, начал разбираться глубже…

Данный роутер оказался из серии ISR G2. По show version выдал:

router#show version
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(2)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Wed 11-Aug-10 18:20 by prod_rel_team

ROM: System Bootstrap, Version 12.4(22r)YB5, RELEASE SOFTWARE (fc1)

router uptime is 0 weeks, 0 days, 0 hour, 59 minutes
System returned to ROM by reload at 14:54:04 EET Tue Mar 27 2012
System image file is "flash:c880data-universalk9-mz.151-2.T1.bin"
Last reload type: Normal Reload
Last reload reason: Reload Command

---/---/---

Cisco 881 (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory.
Processor board ID FCZ191746GB

5 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
256K bytes of non-volatile configuration memory.
126000K bytes of ATA CompactFlash (Read/Write)

License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*0        CISCO881-K9           FCZ191746GB

License Information for 'c880-data'
    License Level: advsecurity   Type: Permanent
    Next reboot license Level: advsecurity

Configuration register is 0x2102

Итак: проблема оказалась в версии IOS, точнее в истекшей лицензии. Видимо железка запустилась и была установлена с триальной версией (лицензия на месяц) и работала себе спокойно до перезагрузки реализуя задуманный функционал. На пациенте в качестве протокола маршрутизации был поднят АЖ BGP без маршрута по умолчанию. После рестарта на выбор предлагаются исключительно:

router(config)#router ?
  odr  On Demand stub Routes
  rip  Routing Information Protocol (RIP)

Ниже описано почему так произошло (взято с Хабра).

Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.

Отдельная тема: функционал IOS. Чтобы вас не запутать, давайте разделим: IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

Примечание: версий 12.5, 13 и 14 никогда не было. По легенде, 13 – несчастливое число в США, а 14 – в Японии.
Примечание 2: маршрутизатор 86х хоть и относится формально к G2, о выпущен раньше остальной линейки. Имеет IOS 12.4 и не лицензируется (т.е. работает так же, как G1)

ISR G1:
В версиях до 15 фичи IOSов можно было разделить на несколько типов:
1. Security. Позволяет сделать VPN разного вида, МСЭ, IPS и защитить сам маршрутизатор.
2. Enterprise. Позволяет обрабатывать не только IPv4, например, IPX, CLNP. Раньше только в него включали IPv6. Сейчас этот протокол есть и в Base
3. Unified communications. Всевозможные телефонные фичи, типа CUCM, gateway, gatekeeper и пр.
4. IP Base. Минимальный набор. Даже ip sla нет! Я стараюсь IP Base не оставлять.

Самих IOSов было гораздо больше, т.к. они могли сочетать разные фичи. Подробно узнать, какие возможности есть в каком IOS можно в цискином удобном фича-навигаторе (тыц).

Названия линеек IOSов в 12 версии

  • IP Base
  • IP Voice
  • Advanced Security
  • SP Services
  • Enterprise Base
  • Advanced IP Services
  • Enterprise Services
  • Advanced Enterprise Services

С 15 версии возможности называются почти так же

  1. Security
  2. DATA
  3. UC
  4. Base

15 версия IOS содержит в себе ВСЕ возможности. Для ISR G1 это означает, что можно закачать свежий IOS 15 версии и не бояться. Т-линейка, как и прежде, содержит в себе больше возможностей, но считается менее стабильной.

Зачем же выделять группы фич, если они все доступны? А вот зачем: в ISR G2 внедрена система лицензирования фич, примерно как на ASA. Т.е. залить в ISR G2 другой IOS и получить другой функционал, как привыкли делать в ISR G1, не получится. Нужно покупать лицензии на нужный функционал. Так cisco борется с изобилием «не совсем легальных установок» продвинутого функционала. Ведь IP BASE стоит гораздо дешевле, чем нужный bundle, а значит можно «сэкономить». И хоть формально за это можно пожурить, но если вы не покупали поддержку от cisco (SmartNet), то о факте такой замены никто не узнает.

Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для 15 версии IOS такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2 нотификацию и ввозить на территорию РФ такие циски беспрепятственно (ISR G1 легко ввозятся с IOS IP Base). Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
Но если очень хочется…

Недавно появилась такая возможность: на 12 лет получить «технологические лицензии» на шифрование (SecurityK9, UCk9, DATAk9). Для этого можно сделать так:

1. Найти где-нибудь IOS не NPE, т.е. без NPE в названии, т.е., например, вот такой: c2900-universalk9-mz.SPA.151-3.T.bin.
2. ИОС не ниже версий: 15.0(1)M4, 15.1(1)T2, 15.1(2)T2, 15.1(3)T.
3. Ввести несколько волшебных команд, которые при некоторой настойчивости находятся так:

Ro(config)# license boot ?

и после ввода каждой из строк согласиться с EULA.

Примечание: я намеренно не привожу точных команд, т.к. не знаю, как отреагируют владельцы Хабра на такой «хак»

4. Сохраниться
5. Перезагрузить маршрутизатор, не пугаясь предупреждения, что до конца технологического периода осталось всего ничего: 12 лет :)

Дисклаймер: пользуемся на свой страх и риск. Регуляторы возможно могут придраться, так что готовьте security action plan отката. Возможны подводные камни, о которых я не знаю. Например, один из тестировщиков решения сообщил, что после заливки лицензий и перезагрузки пропала часть команд ip inspect.

Тизерная сеть GlobalTeaser

One comment

  1. [...] прошлой неделе моя статья годовалой давности Cisco IOS. Версии, лицензии и что делать получила неожиданное [...]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>