28.08.03 Новости Cisco и новые продукты за лето 2003
Уведомление об ошибке в программном обеспечении PIX 6.3(2)
В последней версии программного обеспечения PIX Security Appliance Series Operating System Release 6.3(2) обнаружена ошибка, заключающаяся в потере настроек трансляции NAT после перезагрузки устройства.
Описание: Версия ПО PIX OS 6.3(2) не отображает, при выводе конфигурации, правило для трансляции NAT: nat 0, а после сохранения конфигурации и последующей перезагрузки правило теряется из настроек и становится неактивным. Затронуто только правило nat 0, правила для входящих трансляций и команда nat 0 access-list функционируют нормально.
Пути решения проблемы: Поставки версии PIX 6.3(2) остановлены, имиджи удалены с Cisco Software Center. Ошибка, зарегистрированная как bug CSCeb84163, будет исправлена в следующей версии ПО PIX OS 6.3(3), которая запланирована к выпуску в конце августа 2003 года. Разработчики выпустили инженерный релиз PIX 6.3(2)103 с исправлением для CSCeb84163. Клиенты уже установившие релиз 6.3(2) могут обратиться в TAC (Technical Assistance Center) за исправленной версией софта, однако инженерный релиз не прошел интенсивного тестирования, поэтому Cisco рекомендует вернуться на версию 6.3(1) до того момента пока не появится релиз 6.3.(3).
Подробная информация: http://www.cisco.com/warp/public/770/fn26155.shtml
Новости в линейке межсетевых экранов Cisco PIX® Security Appliance
1. Новые ключевые функции PIX OS 6.3(2) Группа разработчиков программного обеспечения PIX Security Appliance объявила о выпуске новой версии программного обеспечения PIX OS 6.3(2), построенной на базе революционной версии 6.3(1) привнесшей более 30 новых функций в операционную систему межсетевых экранов PIX. PIX OS 6.3(2) добавляет в арсенал программного обеспечения следующие новые возможности:
- Policy-based NAT, для настройке трансляций на основе комбинаций адрес/порт назначения
- Поддержка Extended DNS (RFC 2671)
- Поддержка загружаемых ACL для обработки динамических user-specific firewall policies
- Поддержка Enhanced SIP
- Настраиваемый TFTP fixup/inspection engine
- Расширены возможности по взаимодействию с VPN-решениями других производителей
- Отображение адресов DHCP и PPPoE в PIX Device Manager (PDM) 3.0
Подробная информация в документе PIX OS 6.3(2) Release Notes: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/63rnotes/pixrn632.htm
2. Изменение стандартного комплекта при поставке межсетевых экранов Cisco PIX С 28 июля 2003 года все модели PIX по умолчанию поставляются с версией программного обеспечения PIX OS 6.3 и PIX Device Manager (PDM) версии 3.0. Новая версия ПО предоставляет массу новых возможностей, включая 5-6 кратное увеличение производительности младших моделей PIX-501 и PIX-506E, поддержку протокола OSPF и множество других новых функций. Новая карта аппаратной шифрации VPN Accelerator Card+ (VAC+) обеспечивает, как минимум, двойной прирост производительности при обработке шифрованного трафика по сравнению с ранее использовавшейся PIX VPN Accelerator Card (VAC). VAC+ автоматически включается в бандлы PIX 515E, 525 и 535 с Unrestricted (UR) или Failover (FO) лицензиями. Новая карта увеличивает скорость 3DES и AES шифрации (с 128, 192 и 256-битными ключами) обеспечивая пропускную способность до 500 Mbps для организации Site-to-Site и remote access VPN.
3. Выпущены новые Maintenance-релизы PIX OS 6.1 и 6.2 В новых версиях внесены исправления и решены проблемы обнаруженные в предыдущих версиях PIX OS. Детальная информация по релизам PIX OS 6.1(5) и 6.2(3) представлена на сайте Cisco: PIX OS 6.1(5) Release Notes http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_61/relnotes/pixrn615.htm PIX OS 6.2(3) Release Notes http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_62/relnotes/pixrn623.htm
4. Релиз PIX OS 6.2 получил статус GD (General Deployment) Получение статуса GD (General Deployment) по классификации Cisco означает, что разработка данной версии программного продукту в целом завершена, исправлены обнаруженные ошибки, новые функции добавляться не будут. Продукт рекомендуется к повсеместному использованию в сетях клиентов, обеспечивает стабильность и устойчивость в работе. Группа разработчиков PIX Security Appliance с гордостью сообщает, что новая версия PIX OS 6.2(3) удовлетворяет критериям GD и доступна для всех моделей межсетевых экранов Cisco PIX. Информация по межсетевым экранам Cisco PIX Security Appliance: http://www.cisco.com/go/pix
Новый модуль обнаружения вторжений NM-CIDS-K9 для маршрутизаторов Cisco 3660, 2600XM и 3700-серий
Новый модуль системы обнаружения вторжений (Intrusion Detection System) интегрируемый в маршрутизаторы Cisco 3660, 2600XM и 3700-серий обеспечивает полнофункциональную защиту от вторжений на скоростях до 45Mbps. Модуль работает с новой версией программного обеспечения Cisco IDS v4.1 Sensor Software, включающей все функции и самые последние разработки Cisco в области IDS-решений. Впервые стала возможной установка IDS-модулей в удаленных офисах для защиты и мониторинга трафика на всех интерфейсах. В случае терминации маршрутизатором VPN/GRE-туннелей, модуль может использоваться для контроля и мониторинга расшифрованного IPsec VPN трафика. Таким образом, IDS-модуль обеспечивает защиту и контроль вторжений как со стороны сети Интернет, так и попытки неавторизованной активности из локальной сети
Управляющий модуль для Catalyst 4ххх (Supervisor Engine II-Plus)
Новый модуль предназначен для шасси коммутаторов Catalyst 4006, 4503, 4506, 4507R.
Модуль работает под управлением IOS, поддерживает неблокируемую коммутацию на уровне 2, базовые возможности маршрутизации, QOS.
Новый модуль рекомендуется использовать вместо Supervisor Engine II
Сравнение модулей Supervisor Engine II-Plus и Supervisor Engine II
Feature |
Supervisor Engine II |
Supervisor Engine II-Plus |
Platform support |
Cisco Catalyst 4006, 4503, and 4506 |
Cisco Catalyst 4006, 4503, 4506, and 4507R |
Switching Capacity |
24 Gbps |
64 Gbps |
Throughput |
18 Mpps |
48 Mpps |
Multilayer Switching |
Layer 2 Only |
Basic L2/3/4 Services |
Basic Routing Protocols |
None |
RIP, Static Routes, IPX (Software) Appletalk (Software) |
Enhanced Routing Protocols |
No |
No |
MAC Addresses |
16K |
32K |
Operating System |
CatOS |
IOS |
Transmit Queues |
2Q/port |
4Q/port |
Redundant Capable |
No |
Yes (4507R only) |
ISL |
No |
Yes |
Policers |
No |
Yes |
IGMP Snooping |
No |
Yes |
Модуль рекомендуется также применять, если использование Supervisor Engine III/IV экономически неоправданно.
Сравнение модулей Supervisor Engine II-Plus и Supervisor Engine IV
Feature |
Supervisor II-Plus |
Supervisor IV |
Multilayer Switching |
Basic L2/3/4 Services |
Enhanced L2/3/4 Services & Routing |
(E)IGRP, OSPF, IS:IS, BGP |
No |
Yes |
CPU |
266 |
333 |
NetFlow Support |
No |
Yes |
IP FIB entries |
32K (1 Fwd TCAM only) |
128K (4 Fwd TCAMs) |
SDRAM |
256 MB |
512 MB |
On-Board Flash |
32 MB |
64 MB |
Active VLANs |
2K |
4K |
Multicast entries |
12K (L3) 16K (L2) |
28K (L3) 16K (L2) |
STP Instance |
1.5K |
3K |
SVI |
1K |
4K |
Start-up Config |
On-Board Flash |
NVRAM (512 KB) |
IGMP Snooping |
Yes (8K) |
Yes (16K) |
Policers |
512 Egress, 512 Ingress |
1024 Egress, 1024 Ingress |
Модуль поддерживается в IOS начиная с версии 12.1(19)EW
Product Number |
Description |
WS-X4013+ |
Cisco Catalyst 4500 Supervisor Engine II-Plus (Cisco IOS Software-based) |
S4KL3-12119EW |
Cisco IOS Software for Supervisor Engine II-Plus, III, and IV; basic Layer 3 software image (RIP, static routes, IPX, AppleTalk) |
S4KL3K2-12119EW |
Cisco IOS Software for Supervisor Engine II-Plus; basic Layer 3 software image, 3DES (RIP, static routes, IPX, AppleTalk) |
MEM-C4K-FLD64M |
Cisco Supervisor Compact Flash memory, 64-MB option |
MEM-C4K-FLD128M |
Cisco Supervisor Compact Flash memory, 128-MB option |
Подробнее про модуль можно прочитать на:
http://newsroom.cisco.com/dlls/SUPII-Plus_DS_0616.pdf
Новые коммутаторы Cisco Systems Catalyst 2940, Catalyst 2970
Catalyst 2940
Серия коммутаторов Catalyst 2940 представлена 2 моделями: Catalyst 2940-8TT 8 - 10/100 ports, 1 - 10/100/1000 port Catalyst 2940-8TF 8 - 10/100 ports, 1 - 100FX port 1 - SFP Slot (одновременно доступен или порт 100FX или SFP Slot)
Особенности Catalyst 2940
- Пропускная способность 3.6-Gbps, скорость отправки пакетов 2.7-Mpps
- Модели комплектуются ПО Cisco IOS по функциям аналогичным моделям 2950-SI с единственным ограничением (поддержка максимум 4-х VLAN/STP)
- Поддерживается Cisco Express Setup (Для упрощения конфигурирования коммутатора)
- Коммутаторы предназначены для монтажа в комнатах, где работают люди
- могут устанавливаться на стены помещений,
- есть защита от физического доступа к кабелям, подключенным к коммутатору
(Cable Guard)
- в коммутаторах отсутствует активное охлаждение (вентиляторы)
Информация для заказа
Product Number |
Description |
WS-C2940-8TT-S |
Catalyst 2940 - 8 10/100 + 1 10/100/1000BASE-T |
WS-C2940-8TF-S |
Catalyst 2940 - 8 10/100 + 1 100BASE-FX + 1 SFP slot |
CABLEGUARD-C2940= |
Cable Guard for the Catalyst 2940 Series |
Подробнее про коммутаторы можно прочитать на: http://www.cisco.com/en/US/products/hw/switches/ps5213/index.html
Catalyst 2970
Серия коммутаторов Catalyst 2970 пока представлена 1 моделью: Catalyst 2970 24 10/100/1000T 24 - 10/100/1000 ports
Особенности Catalyst 2970
- Пропускная способность 24-Gbps, скорость отправки пакетов 35.7-Mpps
- Модели комплектуются ПО Cisco IOS по функциям аналогичным моделям 2950-EI
- Поддерживается QOS на уровнях 2/3/4 без потерь производительности
- Поддерживается Cisco Express Setup (Для упрощения конфигурирования коммутатора)
- Коммутаторы предназначены для рабочих групп или небольших офисов, где требуется высокая производительность Gigabit Ethernet
Подробнее про коммутаторы можно прочитать на: http://www.cisco.com/en/US/products/hw/switches/ps5206/index.html
Уязвимость в операционной системе Cisco IOS IPv4
Обнаружена уязвимость в операционной системе IOS компании Cisco Systems. Любое устройство с этой операционной системой, настроенное на обработку пакетов протокола IPv4 уязвимо для атаки типа "отказ в обслуживании". Направив на интерфейс устройства специальным образом сформированную последовательность пакетов злоумышленник может добиться блокировки этого интерфейса.
Данная уязвимость касается всех устройств с Cisco IOS, которые настроены на прием и обработку пакетов IPv4 на своих интерфейсах. Не подвержены данной уязвимости:
- устройства, не имеющие адресов IPv4 на своих интерфейсах;
- устройства, на которых запрещен прием пакетов IPv4 на интерфейсах;
- устройства с Cisco IOS версии 12.3 и выше;
- устройства, работающие только с IPv6.
Возможные варианты решения:
1. Наиболее приемлемый и правильный - настройка списков доступа, блокирующих нежелательный трафик, направленный на интерфейсы устройства. Вообще, рекомендуется разрешить на устройстве трафик только конкретных протоколов, которые реально задействованы на устройстве (например telnet, http, протоколы маршрутизации) от конкретных узлов сети, остальной трафик, не являющийся транзитным, направленный на само устройство - запретить. При этом, на входных маршрутизаторах сети фильтровать таким же образом трафик, направленный на внутренние узлы сетевой инфраструктуры. Минус такого решения - в некоторых случаях это может повлиять на производительность устройства;
2. Для связи с самими устройствами (для управления) использовать протокол IPv6. Те протоколы, которые должны продолжить работу по IPv4 защитить списками доступа;
3. Обновить версию IOS на устройствах. Это не всегда возможно, для некоторых устройств исправленный вариант IOS еще не выпущен, для некоторых уже не будет выпущен. Во многих случаях переход на новую версию потребует увеличения объема оперативной и flash-памяти. Получить исправленную версию пользователи, имеющие сервисный контрактSmartNet, могут бесплатно с сайта производителя. Пользователи, не имеющие сервисных контрактов, должны обращаться по месту приобретения своих устройств.
Полная информация об обнаруженной уязвимости, ее детальное описание и инструкции по настройке списков доступа содержатся в документе на сайте Cisco Systems: http://cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
Cisco Call Manager v3.3(3)
Компания Cisco Systems выпустила версию 3.3(3) программного обеспечения Call Manager. В этом релизе исправлен ряд ошибок и добавлена новая функциональность. Кроме того, вышли в свет два других приложения для серверов с ПО Call Manager: WebDialer 1.0(3) – позволяет абонентам набирать номер выбрав ссылку в веб- или другом настольном приложении и Cisco CallManager Upgrade Assistant Utility – диагностическое приложение, упрощающее процедуру модернизации серверов Call Manager.
В версии ПО Call Manager 3.3(3) реализована поддержка новых моделей IP-телефонов - 7902G, 7905G, 7912G и беспроводного IP-телефона 7920.
Подробную информацию о версии ПО Call Manager v3.3(3), список исправлений и новых функций можно найти в документе Release Notes for Cisco CallManager Release 3.3(3) по адресу: http://www.cisco.com/univercd/cc/td/doc/product/voice/c_callmg/3_3/rel_note/333cmrn.pdf
Версия 3.3(3) ПО Call Manager доступна на веб-сервере Cisco (для владельцев сервисных контрактов Smartnet), по адресу: http://www.cisco.com/cgi-bin/tablebuild.pl/callmgr-33
PIX Device Manager v.3.0
Компания Cisco Systems выпустила очередную версию программного обеспечения Cisco PIX Device Manager.
Эта утилита позволяет управлять межсетевым экраном Cisco PIX в графическом режиме, из браузера. Располагается она во флэш-памяти устройства Cisco PIX и после подключения администратора защищенным соединением по протоколу HTTPS загружается на его компьютер, работая под управлением виртуальной машины Java.
В новой версии модифицирован механизм загрузки модулей, что позволило отказаться от загрузки неиспользуемого в данный момент кода и, таким образом, уменьшить общее время загрузки приложения. Появилась возможность включить кэширование модулей, что позволяет вообще отказаться от загрузки кода по сети, если приложение (PDM) не обновлялось на устройстве PIX.
Расширен список поддерживаемых операционных систем и браузеров, в частности добавилась возможность управлять PIX со станции, работающей под управлением OS Linux (Red Hat Linux 8) а также при промощи браузеров Netscape Communicator 7 и Mozilla. Виртуальная машина Java поддерживается Sun Java Plug-In (1.4.1).
Новая версия также поддерживает новые возможности PIX OS, появившиеся в версии 6.3 — в частности поддержку VLAN, шифрование алгоритмом AES, EasyVPN Remote, поддержку OSPF, Object Grouping. Для новых функций созданы инструменты быстрой первоначальной настройки — Setup Wizard и VPN Wizard.
Непосредственно из PDM можно получать статистику, отчеты и вести мониторинг сетевых событий реальном времени. Отчеты, в частности, можно получать по процессам фильтрации, системы обнаружения вторжений, системы криптозащиты трафика и по использованию ресурсов. Также в состав утилиты входит модуль Syslog Event Viewer, что позволяет просматривать журнал событий и фильтровать их по различным критериям.
Для связи между управляющей консолью и PDM используется защищенное соединение через SSL, с использованием алгоритмов DES или 3DES. Идентификация и авторизация администратора осуществляется с использованием логина и пароля, используется либо локальная (на PIX) база данных, либо централизованная - RADUIS или TACACS+.
Новый коммутатор Cisco 3700
Компания Cisco Systems объявила о выходе новой серии стекируемых коммутаторов.
За последние три года технологии коммутации Ethernet развились настолько, что поставили под сомнение целесообразность применения в коммутаторах технологии стекирования.
Действительно, скорость передачи данных по стек-шине практически у всех производителей равнялась 1–2 Гбит/сек. В такой ситуации предпочтительнее вместо фирменной шины использовать стандартный медный порт Gigabit Ethernet, а при надобности пускать поверх него протокол внутристекового обмена. Такое решение и было использовано Cisco в сериях коммутаторов Catalyst 2590 и 3550. Однако в любом случае внутристековые соединения оставались узким местом — суммарная пропускная способность портов даже одного коммутатора в несколько раз превышала пропускную способность шины. В новой серии 3700 шине возвращена ее исходная роль — быстрого и надежного соединения между коммутаторами. Ее пропускная способность составляет 32 Гбит/сек, а кольцевая структура обеспечивает отказоустойчивость. Это с избытком покрывает потребности стекирования.
Программное обеспечение коммутаторов обеспечивает возможность использования любых функций в пределах всего стека, как если бы стек являлся одним большим коммутатором. В новом семействе 4 модели. Три из них имеют по 24 порта, одна — 48 портов 10/100Base-TX. Модели с 24 портами имеют 2 порта медного Gigabit Ethernet, 4 слота под SFP GBIC и 2 слота соответственно (основные порты у первых двух моделей – 10/100/1000Base-TX). Модель с 48 портами также имеет 4 слота SFP GBIC. Применение Small Form-factor Pluggable Gigabit Interface Convertor позволило сэкономить место на передней панели и увеличить число портов Gigabit Ethernet. Каждая модель доступна в двух вариантах — с ПО Standard Multilayer и Enhanced Multilayer Image — как и в семействе 3550 в EMI они поддерживают коммутацию третьего уровня.
Ниже приведена таблица с описанием новых моделей:
Product |
Part Number |
Port Speed |
Number of Ports |
Uplinks |
Software Image |
Catalyst® 3750-24TS |
WS-C3750-24TS-S |
10/100 |
24 |
2 Small Form-Factor Pluggable (SFP) uplinks |
Standard Multilayer Image (SMI) Software |
Catalyst 3750-24TS |
WS-C3750-24TS-E |
10/100 |
24 |
2 SFP uplinks |
Enhanced Multilayer Image (EMI) Software |
Catalyst 3750-48TS |
WS-C3750-48TS-S |
10/100 |
48 |
4 SFP uplinks |
SMI |
Catalyst 3750-48TS |
WS-C3750-48TS-E |
10/100 |
48 |
4 SFP uplinks |
EMI |
Catalyst 3750G-24T |
WS-C3750G-24T-S |
10/100/1000 |
24 |
None |
SMI |
Catalyst 3750G-24T |
WS-C3750G-24T-E |
10/100/1000 |
24 |
None |
EMI |
Catalyst 3750G-24TS |
WS-C3750G-24TS-S |
10/100/1000 |
24 |
4 SFP uplinks |
SMI |
Catalyst 3750G-24TS |
WS-C3750G-24TS-E |
10/100/1000 |
24 |
4 SFP uplinks |
EMI |
|