Войти
.
| Разработчик | Cisco Systems |
|---|---|
| Рабочее состояние | Текущий |
| Источник модель | Закрытый код |
| Последняя версия | 15.8 (3) M / 22 января 2019 г.; 21 месяц назад (22.01.2019) |
| Доступно на | английском |
| Платформах | Большинство маршрутизаторов Cisco и текущих коммутаторов Cisco |
| Пользовательский интерфейс по умолчанию | Интерфейс командной строки |
| Официальный веб-сайт | Cisco IOS |
Межсетевая операционная система Cisco (IOS ) - это семейство сетевых операционных систем. системы, используемые на многих маршрутизаторах Cisco Systems и текущих сетевых коммутаторах Cisco . Раньше коммутаторы Cisco работали под управлением CatOS. IOS - это пакет функций маршрутизации, коммутации, межсетевого взаимодействия и телекоммуникаций, интегрированный в многозадачную операционную систему. Хотя кодовая база IOS включает ядро совместной многозадачности, большинство функций IOS было перенесено на другие ядра, такие как QNX и Linux, для использования в продуктах Cisco.
Не все продукты Cisco работают под управлением IOS. К заметным исключениям относятся продукты безопасности ASA, работающие под управлением операционной системы Linux, маршрутизаторы операторов связи, работающие под управлением IOS-XR, а также коммутаторы Cisco Nexus и коммутаторы FC, работающие под управлением Cisco NX. -OS.
Сетевая операционная система IOS была разработана в 1980-х годах для маршрутизаторов, которые имели только 256 КБ памяти и низкую вычислительную мощность CPU. Благодаря модульным расширениям IOS была адаптирована для расширения возможностей оборудования и новых сетевых протоколов. Когда была разработана IOS, основной линейкой продуктов Cisco Systems были маршрутизаторы. Компания приобрела ряд молодых компаний, которые сосредоточились на сетевых коммутаторах, например, изобретатель первого коммутатора Ethernet Kalpana, и в результате коммутаторы Cisco не работали под управлением IOS. Серия Cisco Catalyst в течение некоторого времени будет запускать CatOS. В ранних сетевых коммутаторах с модульным корпусом от Cisco модули с функциями маршрутизации уровня 3 были отдельными устройствами, на которых работала IOS, а модули коммутаторов уровня 2 работали с CatOS. В конце концов Cisco представила собственный режим для шасси, так что они работают только с одной операционной системой. Для коммутаторов Nexus Cisco разработала NX-OS, которая похожа на IOS, за исключением того, что она основана на Linux.
Интерфейс командной строки (CLI) IOS предоставляет фиксированный набор команд из нескольких слов . Доступный набор определяется «режимом» и уровнем привилегий текущего пользователя. «Режим глобальной конфигурации» предоставляет команды для изменения конфигурации системы, а «режим конфигурации интерфейса» предоставляет команды для изменения конфигурации конкретного интерфейса. Всем командам назначается уровень привилегий от 0 до 15, и к ним могут получить доступ только пользователи с необходимыми привилегиями. Через интерфейс командной строки можно определить команды, доступные для каждого уровня привилегий.
Большинство сборок IOS включает интерпретатор Tcl. Используя функцию встроенного диспетчера событий, интерпретатор может быть запрограммирован для реакции на события в сетевой среде, такие как сбой интерфейса или периодические таймеры.
Доступные командные режимы включают:
Cisco IOS имеет монолитную архитектуру из-за ограниченных аппаратных ресурсов маршрутизаторов и коммутаторов в 1980-е годы. Это означает, что все процессы имеют прямой доступ к оборудованию для экономии времени процессора. Между процессами нет защиты памяти, и IOS имеет планировщик выполнения до завершения, что означает, что ядро не упреждает запущенный процесс . Вместо этого процесс должен выполнить вызов ядра, прежде чем другие процессы получат возможность работать. IOS рассматривает каждый процесс как один поток и присваивает ему значение приоритета, чтобы процессы с высоким приоритетом выполнялись на ЦП перед процессами с низким приоритетом в очереди, но процессы с высоким приоритетом не могут прерывать выполнение процессов с низким приоритетом.
Монолитное ядро Cisco IOS не реализует защиту памяти для данных различных процессов. Вся физическая память отображается в одно виртуальное адресное пространство. Ядро Cisco IOS не выполняет подкачку памяти или подкачку. Следовательно, адресуемая память ограничена физической памятью сетевого устройства, на котором установлена операционная система. IOS, однако, поддерживает наложение дублированного содержимого виртуальной памяти на одну и ту же физическую память. Эта архитектура была реализована Cisco для обеспечения производительности системы и минимизации операционных издержек операционной системы.
Недостатком архитектуры IOS является то, что она увеличивает сложность операционной системы, возможно повреждение данных, поскольку один процесс может перезаписывать данные другого, и один процесс может дестабилизировать всю операционную систему или даже вызвать программный сбой . В случае сбоя IOS операционная система автоматически перезагружается и перезагружает сохраненную конфигурацию.
Во всех версиях Cisco IOS маршрутизация пакетов и пересылка (переключение ) - это разные функции. Протоколы маршрутизации и другие протоколы выполняются как процессы Cisco IOS и вносят вклад в Базу маршрутной информации (RIB). Это обрабатывается для создания окончательной таблицы переадресации IP (FIB, Forwarding Information Base), которая используется функцией пересылки маршрутизатора. На платформах маршрутизаторов с программной пересылкой (например, Cisco 7200) большая часть обработки трафика, включая список управления доступом, фильтрация и пересылка, выполняется на уровне прерывания с использованием Cisco Express Forwarding (CEF) или dCEF (распределенный CEF). Это означает, что IOS не нужно выполнять процесс переключение контекста для пересылки пакета. Такие функции маршрутизации, как OSPF или BGP, выполняются на уровне процесса. В маршрутизаторах с аппаратной пересылкой, таких как Cisco серии 12000, IOS вычисляет FIB в программном обеспечении и загружает его в оборудование пересылки (например, ASIC или сетевой процессор), которое выполняет фактическую пересылку пакетов. функция.
Блок дескриптора интерфейса или просто IDB - это часть памяти или внутренней структуры данных Cisco IOS, которая содержит такую информацию, как IP-адрес, состояние интерфейса и статистику пакетов. для сетевых данных. Программное обеспечение Cisco IOS поддерживает один IDB для каждого аппаратного интерфейса в конкретном коммутаторе или маршрутизаторе Cisco и один IDB для каждого подинтерфейса. Количество IDB, присутствующих в системе, зависит от типа аппаратной платформы Cisco.
IOS поставляется в виде уникального файла, скомпилированного для определенных сетевых устройств Cisco. Таким образом, каждый образ IOS включает набор функций, которые определяют команды и функции интерфейса командной строки (CLI), доступные на различных устройствах Cisco. Поэтому обновление до другого набора функций влечет за собой установку нового образа IOS на сетевом устройстве и перезагрузку операционной системы IOS. Информацию о версии IOS и наборе функций, работающих на устройстве Cisco, можно получить с помощью команды show version.
Большинство продуктов Cisco, на которых работает IOS, также имеют один или несколько «наборов функций» или «пакетов», обычно восемь пакетов для маршрутизаторов Cisco и пять пакетов для сетевых коммутаторов Cisco . Например, выпуски Cisco IOS, предназначенные для использования на коммутаторах Catalyst, доступны в виде «стандартных» версий (обеспечивающих только базовую IP-маршрутизацию), «расширенных» версий, которые обеспечивают полную поддержку маршрутизации IPv4., и версии «расширенных IP-сервисов», которые предоставляют расширенные функции, а также поддержку IPv6.
Начиная с маршрутизаторов ISR серий 1900, 2900 и 3900, Cisco пересмотрела модель лицензирования. IOS. Чтобы упростить процесс расширения набора функций и снизить потребность в перезагрузке сетевой операционной системы, Cisco представила универсальные образы IOS, которые включают все функции, доступные для устройства, и клиенты могут разблокировать определенные функции, купив дополнительную лицензию на программное обеспечение. Точный набор функций, необходимый для конкретной функции, можно определить с помощью Cisco Feature Set Browser. Маршрутизаторы поставляются с установленной IP Base, и дополнительные лицензии на пакет функций могут быть установлены в качестве надстроек для расширения набора функций устройства. Доступны следующие пакеты функций:
ISO-образы не могут быть обновлены с помощью программная ошибка исправлена. Чтобы исправить уязвимость в IOS, необходимо загрузить двоичный файл со всей операционной системой.
Версия Cisco IOS определяется с использованием трех цифр и нескольких букв в общей форме ab ( cd) e, где:
Rebuilds - Часто восстановление компилируется для исправления одной конкретной проблемы или уязвимости для данной версии IOS. Например, 12.1 (8) E14 - это Rebuild, 14 обозначает 14-ю реконструкцию 12.1 (8) E. Перестроения производятся либо для быстрого устранения дефекта, либо для удовлетворения клиентов, которые не хотят обновляться до более поздней основной версии, поскольку они могут использовать критическую инфраструктуру на своих устройствах и, следовательно, предпочитают минимизировать изменения и риски.
Промежуточные выпуски - обычно выпускаются еженедельно и образуют сводку текущих усилий по разработке. На консультативном веб-сайте Cisco может быть указано более одного возможного промежуточного решения для устранения связанной проблемы (причина этого неизвестна широкой публике).
Отладочные выпуски - Доступны тщательно протестированные выпуски, включающие улучшения и исправления ошибок. Cisco рекомендует по возможности обновлять до отладочных выпусков вместо промежуточных и перестроенных выпусков.
Cisco заявляет: «Поезд - это средство доставки программного обеспечения Cisco на определенный набор платформ и функций».
До выпуска 15 Cisco IOS выпуски были разделены на несколько цепочек, каждая из которых содержала свой набор функций. Поезда в большей или меньшей степени соответствуют отдельным рынкам или группам клиентов, на которые нацелена Cisco.
Время от времени появлялись другие поезда, разработанные для конкретных нужд - например, поезд 12.0AA содержал новый код, необходимый для продукта Cisco AS5800.
Начиная с Cisco IOS версии 15, существует только один поезд - поезд M / T . Этот состав включает как расширенные версии обслуживания, так и стандартные версии обслуживания. Выпуски M являются расширенными версиями обслуживания, и Cisco будет предоставлять исправления ошибок в течение 44 месяцев. Выпуски T являются стандартными выпусками обслуживания, и Cisco будет предоставлять исправления ошибок только в течение 18 месяцев.
Поскольку IOS необходимо знать пароль в открытом виде для определенных целей (например, аутентификация CHAP ), пароли, вводимые в CLI по умолчанию, слабо зашифрованы как Зашифрованный текст «Тип 7», например «Router (config) #username jdoe password 7 0832585B1910010713181F». Это предназначено для предотвращения атак "плечевого серфинга" при просмотре конфигураций маршрутизатора и небезопасно - они легко дешифруются с помощью программного обеспечения под названием "getpass", доступного с 1995 года, или "ios7crypt", современного варианта, хотя пароли могут быть расшифрованы с помощью маршрутизатор, использующий команду «keychain» и вводя пароль типа 7 в качестве ключа, а затем выдавая команду «show key»; приведенный выше пример расшифровывается как "stupidpass". Однако программа не будет расшифровывать пароли типа 5 или пароли, заданные с помощью команды enable secret, которая использует salted хэши MD5.
Cisco рекомендует, чтобы все Cisco IOS устройства реализуют модель безопасности аутентификации, авторизации и учета (AAA). AAA может использовать локальные базы данных, RADIUS и TACACS +. Однако локальная учетная запись обычно все еще требуется в чрезвычайных ситуациях.
На конференции Black Hat Briefings в июле 2005 года Майкл Линн, работающий в Internet Security Systems в В свое время представил информацию об уязвимости в IOS. Cisco уже выпустила патч, но попросила не раскрывать недостаток. Cisco подала иск, но урегулировала его после того, как был издан судебный запрет, чтобы предотвратить дальнейшее раскрытие информации.
Для продуктов Cisco, требующих очень высокой доступности, таких как Cisco CRS- 1, ограничения монолитного ядра были неприемлемы. Кроме того, конкурирующие операционные системы маршрутизаторов, появившиеся через 10–20 лет после IOS, такие как Juniper JUNOS, не имели этих ограничений. В ответ Cisco разработала дерево Cisco IOS, которое предлагало модульность и защиту памяти между процессами, облегченные потоки, упреждающее планирование и возможность независимо перезапускать неудачные процессы. В группе разработчиков IOS XR использовалась операционная система реального времени микроядро (QNX ), поэтому большая часть исходного кода IOS был переписан, чтобы использовать возможности ядра. В 2005 году Cisco представила сетевую операционную систему Cisco IOS XR на серии 12000 сетевых маршрутизаторов, расширив архитектуру микроядра от маршрутизаторов CRS-1 до широко распространенных Cisco. развернуты базовые маршрутизаторы. В 2006 году Cisco представила модульность программного обеспечения IOS, которая расширяет архитектуру микроядра на среду IOS, при этом обеспечивая возможности обновления программного обеспечения.
