互联网操作系统(Internetwork Operating System,简称IOS)是思科公司为其网络设备开发的操作维护系统。用户通过命令运行人机界面对网络设备进行功能设置,提供的功能大致为以下几点:网络设备及连接端口的功能首选项设置、运行网络协议与网络功能设备之间数据传输安全管理设置。

Cisco的网际操作系统(Internet work Operating System)是一个为网际互连优化的复杂的操作系统--类似一个局域操作系统(NOS)、如Novell的NetWare,为LANs而进行优化。IOS为长时间经济有效地维护一个互联网络提供一个统一的规则。简而言之,它是一个与硬件分离的软件体系结构,随着网络技术的不断发展,可动态地升级以适应不断变化的技术(硬件和软件)。IOS可以被视作一个网际互连中枢:一个高度智能的管理员,负责管理的控制复杂的分布式网络资源的功能。

模块性

IOS是Cisco路由软件的初始品牌名称。随着Cisco技术的发展,IOS不断扩展,成为Cisco Central ENgineering(中央工程部门)所称之为的“一系列紧密连接的网际互连软件产品”。尽管在其品牌名识别中,IOS可能仍然等同于路由软件,但是它的持续发展已使之过渡到支持局域网和ATM交换机,并为网络管理应用提供重要的代理功能。必须强调的是,IOS是Cisco开发的技术:一项企业资产。它给公司提供独特的市场竞争优势。目前许多竞争者许可IOS在其集线器路由模块内运行,IOS已经广泛成为网际互连软件事实上的工业标准。

开发历史

  IOS_网络技术

块化到多连接子系统结合下图介绍了IOS从一个统一的操作系统到目前高度模块化操作系统的发展历程。

统一的

IOS的早期版本是一个单独系统,基本上以路由器为中心。它被排列成一个过程(Procedure)集,允许任何过程之间相互呼叫。这种单一的结构使数据的隐蔽性和独立性不强;它的大多数操作代码拥有结构和操作的相关性。

模块化

IOS Releases 9.21到11.2反映了将IOS重新设计成模块化组件或子系统的努力。每一个子系统被组织成一个层集(set of layers),提供一个进入系统代码的独立入口点。子系统本身被定义为独立的模块,支持嵌入式(核心)系统的各种功能。这种分层的子系统设计允许工程人员将IOS划分成更可管理和更易于升级的特性集。


  

IOS_网络技术_02

终极目标

IOS向可移植化的发展表明,IOS 11.3及更高版本更易于移植到新的平台。

bulleproofing

最终的目标是将IOS发展为静态的更为高级的模块化结构,它允许单独定义IOS特性而与其它特性(或子系统)不相关。Cisco可根据客户的特定需求建立IOS特性/解决方案集。随着IOS继续发展,客户将能够和匹配专门的IOS特性,来满足其特定环境的要求。

模块化到多链接子系统结合

优点特性

灵活性

基于Cisco产品的工程开发以用户可以获得适应变化的灵活性。IOS软件提供一个可扩展的平台,Cisco会随着需求和技术的发展集成新的功能。Cisco可以更快地将新产品投向市场,我们的客户可以享用这种优势。

可伸缩性

IOS遍布网际互连市场;广泛的Cisco使用伙伴及竞争者在他们的产品上支持IOS。IOS软件体系结构还允许其集成构造企业互联网络的所有部分。Cisco已经定义了4个:

核心/中枢:网络中枢和WAN服务,包括大型骨干网络路由器和ATM交换机。

工作组:从共享型局域网移植到局域网交换(VLANs)提供更优的网络分段和性能。)

远程访问:远程局域网连接解决方案;边际路由器、调制解调器等。

IBM网际互连:SNA和LAN并行集成,从SNA转换到IP。

Cisco的IOS扩展了所有这些领域,提供了支持端到端网际互连的稳健性。

可操作性

IOS提供最广泛的基于标准的物理和逻辑协议接口--超过业界任何其他供应商:从双绞线到光纤,从局域网到园区网到广域网,Novell NetWare,UNIX,SNA以及其他许多接口。即是说,一个围绕IOS建立的网络将支持非常广泛的应用。而且,Cisco还一直是一个业界标准先驱,是许多知名业界标准机构(例如IETF、ATM论坛等)的积极成员和支持者。

可管理性

IOS是Cisco将嵌入式智能植入网络设备:管理界面,例如IOS诊断界面,以及智能网络应用的代理软件,允许用于临视和广泛的网络设备的故障。随着Cisco转向智能代理和基于策略的自动化管理的大规模部署,IOS将作为一个关键的技术组件。

投资保护(以及随时间推移降低拥有成本)

IOS为客户提供信息基础设施的投资保护。IOS今天支持的许多特性是大多数客户未来需要的特性。随着一家公司的成长扩展到新的领地,随着兼并收购带来的基础机构复杂性以及协议转换或新流量模式的出现,IOS提供的体系结构能使机构灵活地应用变化和经济有效地进行扩展以满足新的需求。IOS允许我们的客户迅速调节适应新的模式,更长时间地保持其信息基础机构投资;其结果是随时间推移提供投资保护和降低拥有成本。

2主要版本编辑

I0S(Internet work 0perating System,网间网操作系统)是一种特殊的软件,可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。I0S是Cisco各种路由器产品的“力量之源”。可以说,正是由于I0S的存在,才使Cisco路由器有了强大的生命力。购买一个思科路由器时,也必须购买运行IOS的一份许可证。I0S存在着多种版本及功能。必须根据自己的实际情况,决定运行哪种形式的I0S

Cisco用一套编码方案来制订IOS的版本。I0S的完整版本号由三部分组成:

1)主版本。

2)辅助版本。

3)维护版本。

其中,主版本和辅助版本号用一个小数点分隔,两者构成了一套IOS的主要版本。而维护版本显示于括弧中。比如象这样的一个IOS版本号: 11.2(10),它的主要版本是11.2,维护版本就是10(第10次维护或补丁)。Cisco经常要发布IOS更新,修正原来存在的一些错误,或增加新的功能。在其发布了一次更新后,通常都要递增维护版本的编号。

由于IOS的版本过于众多,所以Cisco同时会提供发布说明,描述版本的变化与新增内容。如果想知道一个版本有哪些改变,或者新版本中增加了什么内容,就应仔细阅读发布说明。

Cisco采用一套特别的命名方案,让我们知道他们的软件有多么可靠!这些版本名称的定义如下:

General Deployment(标准版—GD),Limited DepIoyment(限制版一LD)以及Early Deployment(早期版—ED)。

通常,I0S的GD版是最可靠的。若一套IOS进入市场已有较长时间,使Cisco能改正掉足够多的错误,而且Cisco认为已取得使用这套软件的大多数人的满意,就会为其冠以一个GD名称。

版本号变化之后,功能或特性的变化幅度并不大。应根据自己希望在路由器上运行的内容,来选择自己需要的特性。例如,你只希望运行“互联网协议”(Intemec Protoc01,IP),还是想同时运行IP、Novell的“网间数据包交换”(Internetwork Packet exchange,IIX)以及DECnet?根据自己的需要,可总结出希望路由器在网络中具有的全部特性,再根据这些特性来挑选IOS。

运行IOS的路由器存在各种各样的型号。从非常便宜的低档型号,一直到非常昂贵的高档型号,应有尽有。通常应根据路由器的用途以及价格来决定自己购买的型号。如果是为网络干线配备路由器,应考虑的某个高档路由器系列以达到非常快的速度和可靠性,可在其中置人多种接口。但假若新路由器买来是为了将办公室LAN或WAN同干线相连,就应考虑某个访问类型的路由器系列。在此不想和大家讨论价钱的问题——那个东西变化太快。但有一个规律总是存在的:型号编号越小,越便宜。

值得欣慰的是,对于IOS的配置来说,它的命令在整个IOS路由器产品线中,基本都是共通的。这意味着我们只需掌握一个命令界面即可。这个界面恰好又属于一种命令行界面。所以无论通过控制台端口,通过一部Modem,还是通过一个Telnet连接与路由器沟通,看到的命令行界面是相同的。

无论希望使用的是何种类型的LAN或WAN接口,基本都有路由器提供了支持。毕竟,没有接口的路由器用处并不太大。而I0S配置相当重要的一个方面就是对接口的配置。路由器支持的部分物理接口类型包括:

--以太网。

--快速以太网

--令牌环。

--FDDI。

--低速串行。

--快速串行。

--HSSI

--ISDN BRI。

请不要以为这里介绍的内容是永恒不变的。事实上,这个领域的变化实在太快,而我又并非推销员或者生意人。

3安全体系结构编辑

防火墙

Cisco通过建议客户道德定义他们的安全政策来解决这一问题。一旦定义了这些政策,就可以采用多个安全组件来满足政策要求。Cisco IOS安全体系机构的组件包括:防火墙、访问管理、宿主安全、加密。

过去几年,路由器一般是企业的智能资产与其网络之间的唯一东西。路由器被独特地定位、设计和配备,以用来在各种级别的开放系统互连(例如OSI reference model)模型中控制及报告数据流。随着今天网络的可访问性及功能的提高、以及公司通过经济有效的远程访问设备连接,风险程度逐步降低。如果一个路由器被安排提供网络外围安全,那么它通常是指“防火墙路由器”。防火墙路由器内维护访问控目录(ACL),ACL的主要功能是提供过滤。IOS安全提供大量的工具来帮助报靠ACL违规(即非法访问)

ACL违规记账

IOS_网络技术_03

IOS

ACL违规记账:随着时间的推移,企业需要一个历史透视图来弄清哪些ACL已经经过测试。这种知识给网络管理人员提供了对入侵者是如何尝试进入某企业网络的一个了解。ACL违规记账提供来源和目的地地址信息、来源和目的地端口号码以及包个数。

ACL违规日志记录

IOS_网络技术_04

IOS

在今天的网络世界,提供强大的防火墙功能已不足以解决问题,网络管理人员需要一个集中化报告选项。过去,网络管理人员在发生损害之前不知道他们已经受到黑客的攻击。唯一可用的早期告区工具是扫描主机日志文件。尽管这仍然是一种优异的安全诊断方法,但是它不能很好地扩展。ACL报告工具通过提供违规信息和网络周边预防,给管理人员提供帮助。IOS包含ACL违规日志记录,给管理人员提供定期的系统日志记录,可以实时确实ACL违规。

网络地址转换

网络地址转换(NAT):与全球Internet连接的网络数量急剧增加,造成了未来连接可用地址的迅速消耗。而World Wide Web对这种耗尽又起到了推波助澜的作用;而Internet正以每年30%到50%的速度发展。根据目前的估计,3到10年内,剩下的氖 Internet地址将全部用完。

Cisco IOS框架

专用网络服务

IOS可以概念化为一个操作系统,为一个全面的协议族提供全面的网络服务。网络服务可以被分成许多不同的功能;下图将它们分成通用和专用服务。专用服务包括交换、路由以及几乎适用于跨局域网、广域网和IBM/SNA环境的所有数据联网协议的专门化服务。

通用网络服务

通用网络服务包括支持IOS体系结构的增值功能,并提供企业级解决方案,来满足客户对安全、服务质量、VLANs配置管理和路由以及(通信)流量管理的需求,进而提高网络性能和可靠性。通用网络服务还提供协议处理服务,例如转换、加密和压缩。

路由协议

通过网络互联,IOS支持许多路径恢复协议以及其他路由协议特性供基于政策的路由配置和管理。

安全

安全:重点强调特性要求,例如通过防火墙提供的资源保护,访问控制,以及与用户验证机制(例如锁定和密钥安全)的集成。

服务质量

服务质量:介绍在互联网内提供服务质量的IOS特性和功能。服务质量对多媒体应用程序支持至关重要。这里所讲座的IOS特性包括几种排队机制(这些可能在流量管理部分讨论)和资源保护协议(RSVP)。

虚拟局域网

VLANs:简要介绍Cisco在VLANs配置中部署路由和交换的IOS支持。

流量管理

流量管理:包括根据用户(来源和目的地)、局域网和广域网记迪斯科以及RMON标准支持进行的流量模式测量。本部分将讨论Cisco的NetFlow Switching(尽管理论上说可能属于服务质量部分)。

协议处理

协议处理:介绍多媒体和协议类型的集成、协议转换、加密和压缩以及IBM SNA和TCP/IP网际互连(取决于多协议路由和转换)的一般类别。SNA的TCP/IP集成在InterWorks Business Unit部分讨论。本部分将围绕压缩和协议转换介绍IOS特性。

总结

作为本单元的一个总结,我们将提供IOS市场模型。该模型包括5个功能性领域,所有领域都有许多相关的特性。它简单的提供了在一个网际互连解决方案的上下文内位IOS特性的另一种方法。

Cisco IOS处理办法集

从IOS Granularity到特性级

上图总结了IOS向解决方案集的发展过程。由于许多专门的网络服务特性已经从IOS核心分离,因而解决方案集是可能的。尽管Cisco目前能够提供它所说的特性集-例如企业特性集或桌面特性集,但是这些都是受到IOS核心和子系统相关性限制的预封装解决方案。随着解决方案集的发展,它们将获得得更加高级的层次地址:作为专门的特性实体,而且是作为核心或子系统定义去发展(不过,一般总会有某些级别的子系统定义。)

客户为重点的解决方案

IOS成为一咱以客户为重点的技术;它提供专门满足客户主要的技术及商业需求的网际互连功能和特性。客户可以在IOS基本平台之上有效地设计他们自己的特性体系结构

可伸缩性和投资保护

由于客户选择满足他们要所需的核心特性,因此可以大幅度降低IOS开销。IOS可以利用客户现有的硬件和基础设施投资进行更好地扩展,从而提供投资保护以及更好的网络寿命周期拥有成本。

降低复杂性

IOS复杂性降低,并进而带为客户互联网络复杂性的降低。由于IOS系统及特性间相关性减少,因此解决方案集有助于使统一系统中可能发生的并行损害最小化。实际上,许多与一个全面特性IOS的实现相关的要求都可以实现最小化。

安全介绍

Cisco从几个方面考虑安全问题。在企业设备中、安全通常基于安全保护、闭路电视和卡密钥入口系统。有了这些措施,企业可以放心,他们的物理及智力资产将得到保护。Cisco的安全方案允许企业通过使基于政策的组件及IOS安全体系结构,来扩展这一模型。IOS安全体系机构已经经过10多年的技术革新发展历程、它为企业的安全政策提供基础。IOS安全基于多个重叠的解决方案,这些解决方案一起维护企业的安全完整性。

企业必须决定何时在用户的访问和工作效率与可能被用户视为限制的安全措施之间进行折衷。一方是访问和工作效率,另一方是安全。一个好的设计的目标是提供一个平衡,同时从用户的角度看尽可能少增加限制。有些非常合理的安全措施,例如加密,不限制访问和效率。另一方面,低劣的安全计划可能造成用户效率和性能的降低。那么,企业在维护安全的努力中要冒多大的访问和效率风险呢

设计目标

IOS是围绕下列目标设计的:

模块性:IOS为大量的协议和协议族提供支持,运行于多平台并坚持独立于硬件的设计标准(硬件隔离)。

速度最快:IOS能使Cisco为网络协议提供最快的平台实现。

网络互连:IOS支持包括路由、桥接和交换技术的需求。

高性能平台:IOS由多个RISC处理器体系结构(MIPSRxxxx、Motorola680xx)支持。

分布式:IOS为分布式体系结构的部署提供基础。

环境:IOS提供一个支持大型企业需求的软件开发环境

多维支持

IOS为LAN介质,WAN协议,以及各种功能,包括路由、交换、集令、IBM、协议转换及许多其他服务提供支持。

设计结果

IOS设计为客户提供完成下列任务的能力:

建立特大规模的网络。

远程访问链接中,维护多协议支持

全面集成IBM/SNA和互联网络环境。

开发基于IOS功能的广泛的安全策略

互联网络内设计和维护优良的流量控制和服务质量参数。

优化网络带宽和操作资源。

支持互联网络上的多媒体应用。

路由器IOS 的升级方法

将系统软件备份到TFTP服务器 copy flash:tftp

将TFTP服务器中的系统软件下载到路由器中 copy tftp flash:

TFTP 软件可以从Cisco网站上下载,文件名为 Tftpstv.exe 此软件可在Windows 95/98/2000/NT上安装,在升级IOS前必须先运行此软件,并通过菜单设置Root 目录为新系统文件所在目录。

设置PC机IP地址与路由器以太网端口IP地址在相同网段

假设计算机的IP地址为:e.e.e.e

假设IOS文件放在C:\IOS 子目录下

在这台计算机上运行TFTP Server 软件,把文件目录设置为:C:\ios

在这台路由器上进入特权模式

Router#copy tftp flash

Address or name of remote host []?e.e.e.e

Source filename []?c5300-is-mz.121-2.bin

Destination filiname [c5300-is-mz.121-2.bin]?

Accessing tftp://e.e.e.e/c5300-is-mz.121-2.bin …

Erase flash :before copying ?[confirm]

Erasing the flash filesystem will remove all file!Continue?[confirm]

Erasing device … eeeeeeeeeeeeeeeeeeeeeeee….erased

Loading c5300-is-mz.121-2.bin from e.e.e.e (via fastethernet 0/0)

认识Cisco IOS的访问权限

许多工作在Cisco IOS之上的网络管理员从未费心去考虑过他们正在使用的权限等级或这些等级的意义。然而,Cisco IOS实际上十六种不同的权限等级。David Davis论述了这些不同的等级并且向你介绍在配置这些权限时需要用到的主要命令。

你知道为什么Cisco IOS用不同的命令提供了16种权限等级?许多工作在Cisco IOS环境中的网络管理员从未费心去考虑过他们正在使用权限等级或这些等级的意义。

当在Cisco IOS中进入不同的权限等级时,你的权限等级越高,你在路由器中能进行的操作就越多。但是Cisco路由器的多数用户只熟悉两个权限等级:

用户EXEC模式-权限等级1

特权EXEC模式-权限等级15

当你在缺省配置下登录到Cisco路由器,你是在用户EXEC模式(等级1)下。在这个模式中,你可以查看路由器的某些信息,例如接口状态,而且你可以查看路由表中的路由。然而,你不能做任何修改或查看运行的配置文件。

由于这些限制,Cisco路由器的多数用户马上输入enable以退出用户EXEC模式。默认情况下,输入enable会进入等级15,也就是特权EXEC模式。在Cisco IOS当中,这个等级相当于在UNIX拥有root权限或者在Windows中拥有管理员权限。换句话说,你可以对路由器进行全面控制。

因为网络只是由少数人维护,他们每个人通常都有进入特权模式的口令。但是在某些情况下,那些小型或中型公司会进一步增长,而权限问题会变得更加复杂。

许多时候,当有一个支持小组或不需要在路由器上进行过多访问的缺乏经验的管理员时问题就出现了。或许他们只是需要连接到路由器以查看运行配置或重新设置接口。

在这种情况下,这些人会需要介于等级1到等级15之间的某个等级进行操作。请记住最小权限原则:只赋予必需的最少的访问权限。

有很多可行的配置IOS用户和权限的方法,我无法在一篇文章中详细描述每一种方法。所以,我们将关注你在配置权限时用到的基本命令。

Show privilege:这个命令显示目前的权限。这里给出一个例子:

router# show privilege

Current privilege level is 3

Enable:管理员通常使用这个命令以进入特权EXEC模式。然而,它也可以带你进入任何特权模式。这里给出一个例子:

router# show privilege

Current privilege level is 3

router# enable 1

router> show privilege

Current privilege level is 1

router>

User:这个命令不仅可以设定用户,它还可以告诉IOS,用户在登录的时候将拥有何种权限等级。这里给出一个例子:

router(config)# username test password test privilege 3

Privilege:这个命令设定某些命令只在某个等级才能用。这里给出一个例子:

router(config)# enable secret level 5 level5pass

Enable secret:默认情况下,这个命令创建一个进入特权模式15的口令。然而,你也可以用它创建进入其他你可以创建的特权模式的口令。

让我们考察一个例子。假设你想创建一个维护用户,他可以登录到路由器并且查看启动信息(以及等级1的其他任何信息)。你将输入的命令可能是:

router(config)# user support privilege 3 password support

router(config)# privilege exec level 3 show startup-config

需要注意的是并不需要enable secret命令,除非你想让以等级1登录进来的用户为了能提升到等级3而使用口令。在我们的例子中,新用户(维护)已经处在等级3而且无需额外的enable secret口令来登录。

除此之外,需要注意的是这个配置假设你已经拥有一个配置好的使用用户名和口令的路由器,该例子还假设你已经为等级15定义了enable secret命令,你有一个拥有等级15的超级用户,而且你已经在超级用户权限下保存了启动配置文件。

被删除的的快速恢复

1、先用终端的一台机器级连线连接cisco route的俄Enternet0 口

2、然后,在终端上安装TFTP软件,在把需要恢复的IOS文件(如:C2600.BIN)拷贝到TFTP安装好的目录里面。

3、在CISCO的ROMMON界面下:(CTRAL+BREAK)

设置如下

IP_ADDRESS=192.168.1.1 (设置CISCOEnternet0 口的IP地址)

IP_SUBNET_MASK=255.255.255.0 (设置CISCOEnternet0 口的子掩码)

DEFAULT_GATEWAY=192.168.1.1 (将网关设置为CISCOEnternet0 口的地址)

TFTP_SERVER=192.168.1.2 (TFTP终端计算机的IP地址)

TFTP_FILE=C2600.BIN (需要传送的IOS文件,将此文件放在安装好的TFTP目录里)

tftpdnld (执行传送命令)

在Cisco设备上用FTP传IOS文件

用FTP在路由器和服务器之间传输文件,是在Cisco IOS Release 12.0中引进的。因为FTP是一个使用TCP/IP的面向连接的应用,所以它比TFTP提供更好的吞吐量和成功率,TFTP是用UDP/IP作传输服务的无连接应用。

作为一个面向连接的应用,在传输IOS映像之前,FTP需要使用登录和口令。建立路由器到FTP服务器的登录用户名和口令,通过使用路由器上特权模式的配置操作完成。为了准备用FTP进行IOS映像传输,将再次使用下列命令顺序来提供这些信息给路由器IOS:

enable

enter password xxxxxxxxx

configure terminal

ip ftp username login_name

ip ftp password login_password

end

write memory

像用TFTP一样, enable命令以及跟着的特权口令,允许操作员获得使用特权模式命令的权力。Configure terminal命令执行路由器的配置模式。在这种模式下,可以输入任何或全部选项与定义来修改、添加或删除路由器运行配置。与目标FTP服务器上一个登录名字相关联的FTP用户名,通过ip ftp username命令提供给路由器IOS。ip ftp username 命令中的login-name变量,定义了当Copy ftp:命令中未指定登录名时路由器使用的缺省用户登录名。

login-name变量是目标FTP服务器上的一个有效用户名。ip ftp password命令是与目标FTP服务器上指定的login-name相关联的缺省口令。end命令退出配置模式。执行完这些命令后,路由器IOS配置有了连接到FTP服务器上所必需的FTP参数。命令行最后的write memory命令,把路由器的运行配置写到路由器的NVRAM中以永久保存。保存运行配置到存储器,就在加电重启和路由器重新装载之间保存了刚输入的配置信息。

把当前IOS映像备份到一个FTP服务器,通过输入如下命令完成:

copy device:filename

ftp:[[[//login-name[:login-password]@]location]/directory]/filename]

使用此命令,路由器管理员通过device:filename变量的device参数,来指定路由器上闪存位置,通过filename参数指定映像的名字。filename是闪存设备上找到的一份映像名字