На главную
Карта сайта
Написать письмо в АСПЕКТ СПб
Главная /  О компании /  Новости / Новости Cisco и новые продукты за лето 2003

28.08.03 Новости Cisco и новые продукты за лето 2003

Уведомление об ошибке в программном обеспечении PIX 6.3(2)

В последней версии программного обеспечения PIX Security Appliance Series Operating System Release 6.3(2) обнаружена ошибка, заключающаяся в потере настроек трансляции NAT после перезагрузки устройства.

Описание:
Версия ПО PIX OS 6.3(2) не отображает, при выводе конфигурации, правило для трансляции NAT: nat 0, а после сохранения конфигурации и последующей перезагрузки правило теряется из настроек и становится неактивным. Затронуто только правило nat 0, правила для входящих трансляций и команда nat 0 access-list функционируют нормально.

Пути решения проблемы:
Поставки версии PIX 6.3(2) остановлены, имиджи удалены с Cisco Software Center. Ошибка, зарегистрированная как bug CSCeb84163, будет исправлена в следующей версии ПО PIX OS 6.3(3), которая запланирована к выпуску в конце августа 2003 года. Разработчики выпустили инженерный релиз PIX 6.3(2)103 с исправлением для CSCeb84163. Клиенты уже установившие релиз 6.3(2) могут обратиться в TAC (Technical Assistance Center) за исправленной версией софта, однако инженерный релиз не прошел интенсивного тестирования, поэтому Cisco рекомендует вернуться на версию 6.3(1) до того момента пока не появится релиз 6.3.(3).

Подробная информация:
http://www.cisco.com/warp/public/770/fn26155.shtml

Новости в линейке межсетевых экранов Cisco PIX® Security Appliance

1. Новые ключевые функции PIX OS 6.3(2)
Группа разработчиков программного обеспечения PIX Security Appliance объявила о выпуске новой версии программного обеспечения PIX OS 6.3(2), построенной на базе революционной версии 6.3(1) привнесшей более 30 новых функций в операционную систему межсетевых экранов PIX.
PIX OS 6.3(2) добавляет в арсенал программного обеспечения следующие новые возможности:

  • Policy-based NAT, для настройке трансляций на основе комбинаций адрес/порт назначения
  • Поддержка Extended DNS (RFC 2671)
  • Поддержка загружаемых ACL для обработки динамических user-specific firewall policies
  • Поддержка Enhanced SIP
  • Настраиваемый TFTP fixup/inspection engine
  • Расширены возможности по взаимодействию с VPN-решениями других производителей
  • Отображение адресов DHCP и PPPoE в PIX Device Manager (PDM) 3.0

Подробная информация в документе PIX OS 6.3(2) Release Notes:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/63rnotes/pixrn632.htm

2. Изменение стандартного комплекта при поставке межсетевых экранов Cisco PIX
С 28 июля 2003 года все модели PIX по умолчанию поставляются с версией программного обеспечения PIX OS 6.3 и PIX Device Manager (PDM) версии 3.0. Новая версия ПО предоставляет массу новых возможностей, включая 5-6 кратное увеличение производительности младших моделей PIX-501 и PIX-506E, поддержку протокола OSPF и множество других новых функций. Новая карта аппаратной шифрации VPN Accelerator Card+ (VAC+) обеспечивает, как минимум, двойной прирост производительности при обработке шифрованного трафика по сравнению с ранее использовавшейся PIX VPN Accelerator Card (VAC). VAC+ автоматически включается в бандлы PIX 515E, 525 и 535 с Unrestricted (UR) или Failover (FO) лицензиями. Новая карта увеличивает скорость 3DES и AES шифрации (с 128, 192 и 256-битными ключами) обеспечивая пропускную способность до 500 Mbps для организации Site-to-Site и remote access VPN.

3. Выпущены новые Maintenance-релизы PIX OS 6.1 и 6.2
В новых версиях внесены исправления и решены проблемы обнаруженные в предыдущих версиях PIX OS. Детальная информация по релизам PIX OS 6.1(5) и 6.2(3) представлена на сайте Cisco:
PIX OS 6.1(5) Release Notes
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_61/relnotes/pixrn615.htm
PIX OS 6.2(3) Release Notes
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_62/relnotes/pixrn623.htm

4. Релиз PIX OS 6.2 получил статус GD (General Deployment)
Получение статуса GD (General Deployment) по классификации Cisco означает, что разработка данной версии программного продукту в целом завершена, исправлены обнаруженные ошибки, новые функции добавляться не будут. Продукт рекомендуется к повсеместному использованию в сетях клиентов, обеспечивает стабильность и устойчивость в работе. Группа разработчиков PIX Security Appliance с гордостью сообщает, что новая версия PIX OS 6.2(3) удовлетворяет критериям GD и доступна для всех моделей межсетевых экранов Cisco PIX.
Информация по межсетевым экранам Cisco PIX Security Appliance:
http://www.cisco.com/go/pix

Новый модуль обнаружения вторжений NM-CIDS-K9 для маршрутизаторов Cisco 3660, 2600XM и 3700-серий

Новый модуль системы обнаружения вторжений (Intrusion Detection System) интегрируемый в маршрутизаторы Cisco 3660, 2600XM и 3700-серий обеспечивает полнофункциональную защиту от вторжений на скоростях до 45Mbps. Модуль работает с новой версией программного обеспечения Cisco IDS v4.1 Sensor Software, включающей все функции и самые последние разработки Cisco в области IDS-решений.
Впервые стала возможной установка IDS-модулей в удаленных офисах для защиты и мониторинга трафика на всех интерфейсах. В случае терминации маршрутизатором VPN/GRE-туннелей, модуль может использоваться для контроля и мониторинга расшифрованного IPsec VPN трафика. Таким образом, IDS-модуль обеспечивает защиту и контроль вторжений как со стороны сети Интернет, так и попытки неавторизованной активности из локальной сети

Управляющий модуль для Catalyst 4ххх (Supervisor Engine II-Plus)

Новый модуль предназначен для шасси коммутаторов Catalyst 4006, 4503, 4506, 4507R.

Модуль работает под управлением IOS, поддерживает неблокируемую коммутацию на уровне 2, базовые возможности маршрутизации, QOS.

Новый модуль рекомендуется использовать вместо Supervisor Engine II

Сравнение модулей Supervisor Engine II-Plus и Supervisor Engine II

Feature

Supervisor Engine II

Supervisor Engine II-Plus

Platform support

Cisco Catalyst 4006, 4503, and 4506

Cisco Catalyst 4006, 4503, 4506, and 4507R

Switching Capacity

24 Gbps

64 Gbps

Throughput

18 Mpps

48 Mpps

Multilayer Switching

Layer 2 Only

Basic L2/3/4 Services

Basic Routing Protocols

None

RIP, Static Routes, IPX (Software) Appletalk (Software)

Enhanced Routing Protocols

No

No

MAC Addresses

16K

32K

Operating System

CatOS

IOS

Transmit Queues

2Q/port

4Q/port

Redundant Capable

No

Yes (4507R only)

ISL

No

Yes

Policers

No

Yes

IGMP Snooping

No

Yes

Модуль рекомендуется также применять, если использование Supervisor Engine III/IV экономически неоправданно.

Сравнение модулей Supervisor Engine II-Plus и Supervisor Engine IV

Feature

Supervisor II-Plus

Supervisor IV

Multilayer Switching

Basic L2/3/4 Services

Enhanced L2/3/4 Services & Routing

(E)IGRP, OSPF, IS:IS, BGP

No

Yes

CPU

266

333

NetFlow Support

No

Yes

IP FIB entries

32K (1 Fwd TCAM only)

128K (4 Fwd TCAMs)

SDRAM

256 MB

512 MB

On-Board Flash

32 MB

64 MB

Active VLANs

2K

4K

Multicast entries

12K (L3) 16K (L2)

28K (L3) 16K (L2)

STP Instance

1.5K

3K

SVI

1K

4K

Start-up Config

On-Board Flash

NVRAM (512 KB)

IGMP Snooping

Yes (8K)

Yes (16K)

Policers

512 Egress, 512 Ingress

1024 Egress, 1024 Ingress

Модуль поддерживается в IOS начиная с версии 12.1(19)EW

Product Number

Description

WS-X4013+

Cisco Catalyst 4500 Supervisor Engine II-Plus (Cisco IOS Software-based)

S4KL3-12119EW

Cisco IOS Software for Supervisor Engine II-Plus, III, and IV; basic Layer 3 software image (RIP, static routes, IPX, AppleTalk)

S4KL3K2-12119EW

Cisco IOS Software for Supervisor Engine II-Plus; basic Layer 3 software image, 3DES (RIP, static routes, IPX, AppleTalk)

MEM-C4K-FLD64M

Cisco Supervisor Compact Flash memory, 64-MB option

MEM-C4K-FLD128M

Cisco Supervisor Compact Flash memory, 128-MB option

Подробнее про модуль можно прочитать на:

http://newsroom.cisco.com/dlls/SUPII-Plus_DS_0616.pdf

Новые коммутаторы Cisco Systems Catalyst 2940, Catalyst 2970

Catalyst 2940

Серия коммутаторов Catalyst 2940 представлена 2 моделями:
Catalyst 2940-8TT
8 - 10/100 ports,
1 - 10/100/1000 port
Catalyst 2940-8TF
8 - 10/100 ports,
1 - 100FX port
1 - SFP Slot (одновременно доступен или порт 100FX или SFP Slot)

Особенности Catalyst 2940

  • Пропускная способность 3.6-Gbps, скорость отправки пакетов 2.7-Mpps
  • Модели комплектуются ПО Cisco IOS по функциям аналогичным моделям 2950-SI с единственным ограничением (поддержка максимум 4-х VLAN/STP)
  • Поддерживается Cisco Express Setup (Для упрощения конфигурирования коммутатора)
  • Коммутаторы предназначены для монтажа в комнатах, где работают люди
  • могут устанавливаться на стены помещений,
  • есть защита от физического доступа к кабелям, подключенным к коммутатору
    (Cable Guard)
  • в коммутаторах отсутствует активное охлаждение (вентиляторы)
Информация для заказа

Product Number Description
WS-C2940-8TT-S Catalyst 2940 - 8 10/100 + 1 10/100/1000BASE-T
WS-C2940-8TF-S Catalyst 2940 - 8 10/100 + 1 100BASE-FX + 1 SFP slot
CABLEGUARD-C2940= Cable Guard for the Catalyst 2940 Series

Подробнее про коммутаторы можно прочитать на:
http://www.cisco.com/en/US/products/hw/switches/ps5213/index.html


Catalyst 2970

Серия коммутаторов Catalyst 2970 пока представлена 1 моделью:
Catalyst 2970 24 10/100/1000T
24 - 10/100/1000 ports

Особенности Catalyst 2970

  • Пропускная способность 24-Gbps, скорость отправки пакетов 35.7-Mpps
  • Модели комплектуются ПО Cisco IOS по функциям аналогичным моделям 2950-EI
  • Поддерживается QOS на уровнях 2/3/4 без потерь производительности
  • Поддерживается Cisco Express Setup (Для упрощения конфигурирования коммутатора)
  • Коммутаторы предназначены для рабочих групп или небольших офисов, где требуется высокая производительность Gigabit Ethernet

Подробнее про коммутаторы можно прочитать на:
http://www.cisco.com/en/US/products/hw/switches/ps5206/index.html

Уязвимость в операционной системе Cisco IOS IPv4

Обнаружена уязвимость в операционной системе IOS компании Cisco Systems. Любое устройство с этой операционной системой, настроенное на обработку пакетов протокола IPv4 уязвимо для атаки типа "отказ в обслуживании". Направив на интерфейс устройства специальным образом сформированную последовательность пакетов злоумышленник может добиться блокировки этого интерфейса.

Данная уязвимость касается всех устройств с Cisco IOS, которые настроены на прием и обработку пакетов IPv4 на своих интерфейсах. Не подвержены данной уязвимости:

  • устройства, не имеющие адресов IPv4 на своих интерфейсах;
  • устройства, на которых запрещен прием пакетов IPv4 на интерфейсах;
  • устройства с Cisco IOS версии 12.3 и выше;
  • устройства, работающие только с IPv6.

Возможные варианты решения:

1. Наиболее приемлемый и правильный - настройка списков доступа, блокирующих нежелательный трафик, направленный на интерфейсы устройства. Вообще, рекомендуется разрешить на устройстве трафик только конкретных протоколов, которые реально задействованы на устройстве (например telnet, http, протоколы маршрутизации) от конкретных узлов сети, остальной трафик, не являющийся транзитным, направленный на само устройство - запретить. При этом, на входных маршрутизаторах сети фильтровать таким же образом трафик, направленный на внутренние узлы сетевой инфраструктуры. Минус такого решения - в некоторых случаях это может повлиять на производительность устройства;

2. Для связи с самими устройствами (для управления) использовать протокол IPv6. Те протоколы, которые должны продолжить работу по IPv4 защитить списками доступа;

3. Обновить версию IOS на устройствах. Это не всегда возможно, для некоторых устройств исправленный вариант IOS еще не выпущен, для некоторых уже не будет выпущен. Во многих случаях переход на новую версию потребует увеличения объема оперативной и flash-памяти. Получить исправленную версию пользователи, имеющие сервисный контрактSmartNet, могут бесплатно с сайта производителя. Пользователи, не имеющие сервисных контрактов, должны обращаться по месту приобретения своих устройств.

Полная информация об обнаруженной уязвимости, ее детальное описание и инструкции по настройке списков доступа содержатся в документе на сайте Cisco Systems:
http://cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

Cisco Call Manager v3.3(3)

Компания Cisco Systems выпустила версию 3.3(3) программного обеспечения Call Manager. В этом релизе исправлен ряд ошибок и добавлена новая функциональность.
Кроме того, вышли в свет два других приложения для серверов с ПО Call Manager: WebDialer 1.0(3) – позволяет абонентам набирать номер выбрав ссылку в веб- или другом настольном приложении и Cisco CallManager Upgrade Assistant Utility – диагностическое приложение, упрощающее процедуру модернизации серверов Call Manager.

В версии ПО Call Manager 3.3(3) реализована поддержка новых моделей IP-телефонов - 7902G, 7905G, 7912G и беспроводного IP-телефона 7920.

Подробную информацию о версии ПО Call Manager v3.3(3), список исправлений и новых функций можно найти в документе Release Notes for Cisco CallManager Release 3.3(3) по адресу:
http://www.cisco.com/univercd/cc/td/doc/product/voice/c_callmg/3_3/rel_note/333cmrn.pdf

Версия 3.3(3) ПО Call Manager доступна на веб-сервере Cisco (для владельцев сервисных контрактов Smartnet), по адресу:
http://www.cisco.com/cgi-bin/tablebuild.pl/callmgr-33

PIX Device Manager v.3.0

Компания Cisco Systems выпустила очередную версию программного обеспечения Cisco PIX Device Manager.

Эта утилита позволяет управлять межсетевым экраном Cisco PIX в графическом режиме, из браузера. Располагается она во флэш-памяти устройства Cisco PIX и после подключения администратора защищенным соединением по протоколу HTTPS загружается на его компьютер, работая под управлением виртуальной машины Java.

В новой версии модифицирован механизм загрузки модулей, что позволило отказаться от загрузки неиспользуемого в данный момент кода и, таким образом, уменьшить общее время загрузки приложения. Появилась возможность включить кэширование модулей, что позволяет вообще
отказаться от загрузки кода по сети, если приложение (PDM) не обновлялось на устройстве PIX.

Расширен список поддерживаемых операционных систем и браузеров, в частности добавилась возможность управлять PIX со станции, работающей под управлением OS Linux (Red Hat Linux 8) а также при промощи браузеров Netscape Communicator 7 и Mozilla. Виртуальная машина Java
поддерживается Sun Java Plug-In (1.4.1).

Новая версия также поддерживает новые возможности PIX OS, появившиеся в версии 6.3 — в частности поддержку VLAN, шифрование алгоритмом AES, EasyVPN Remote, поддержку OSPF, Object Grouping. Для новых функций созданы инструменты быстрой первоначальной настройки — Setup Wizard и VPN Wizard.

Непосредственно из PDM можно получать статистику, отчеты и вести мониторинг сетевых событий реальном времени. Отчеты, в частности, можно получать по процессам фильтрации, системы обнаружения вторжений, системы криптозащиты трафика и по использованию ресурсов. Также в состав утилиты входит модуль Syslog Event Viewer, что позволяет просматривать журнал событий и фильтровать их по различным критериям.

Для связи между управляющей консолью и PDM используется защищенное соединение через SSL, с использованием алгоритмов DES или 3DES.
Идентификация и авторизация администратора осуществляется с использованием логина и пароля, используется либо локальная (на PIX) база данных, либо централизованная - RADUIS или TACACS+.

Новый коммутатор Cisco 3700

Компания Cisco Systems объявила о выходе новой серии стекируемых коммутаторов.

За последние три года технологии коммутации Ethernet развились настолько, что поставили под сомнение целесообразность применения в коммутаторах технологии стекирования.

Действительно, скорость передачи данных по стек-шине практически у всех производителей равнялась 1–2 Гбит/сек. В такой ситуации предпочтительнее вместо фирменной шины использовать стандартный медный порт Gigabit Ethernet, а при надобности пускать поверх него протокол внутристекового обмена. Такое решение и было использовано Cisco в сериях коммутаторов Catalyst 2590 и 3550. Однако в любом случае внутристековые соединения оставались узким местом — суммарная пропускная способность портов даже одного коммутатора в несколько раз превышала пропускную способность шины.
В новой серии 3700 шине возвращена ее исходная роль — быстрого и надежного соединения между коммутаторами. Ее пропускная способность составляет 32 Гбит/сек, а кольцевая структура обеспечивает отказоустойчивость. Это с избытком покрывает потребности стекирования.

Программное обеспечение коммутаторов обеспечивает возможность использования любых функций в пределах всего стека, как если бы стек являлся одним большим коммутатором.
В новом семействе 4 модели. Три из них имеют по 24 порта, одна — 48 портов 10/100Base-TX. Модели с 24 портами имеют 2 порта медного Gigabit Ethernet, 4 слота под SFP GBIC и 2 слота соответственно (основные порты у первых двух моделей – 10/100/1000Base-TX). Модель с 48 портами также имеет 4 слота SFP GBIC.
Применение Small Form-factor Pluggable Gigabit Interface Convertor позволило сэкономить место на передней панели и увеличить число портов Gigabit Ethernet.
Каждая модель доступна в двух вариантах — с ПО Standard Multilayer и Enhanced Multilayer Image — как и в семействе 3550 в EMI они поддерживают коммутацию третьего уровня.

Ниже приведена таблица с описанием новых моделей:

Product

Part Number

Port Speed

Number of Ports

Uplinks

Software Image

Catalyst® 3750-24TS

WS-C3750-24TS-S

10/100

24

2 Small Form-Factor Pluggable (SFP) uplinks

Standard Multilayer Image (SMI) Software

Catalyst 3750-24TS

WS-C3750-24TS-E

10/100

24

2 SFP uplinks

Enhanced Multilayer Image (EMI) Software

Catalyst 3750-48TS

WS-C3750-48TS-S

10/100

48

4 SFP uplinks

SMI

Catalyst 3750-48TS

WS-C3750-48TS-E

10/100

48

4 SFP uplinks

EMI

Catalyst 3750G-24T

WS-C3750G-24T-S

10/100/1000

24

None

SMI

Catalyst 3750G-24T

WS-C3750G-24T-E

10/100/1000

24

None

EMI

Catalyst 3750G-24TS

WS-C3750G-24TS-S

10/100/1000

24

4 SFP uplinks

SMI

Catalyst 3750G-24TS

WS-C3750G-24TS-E

10/100/1000

24

4 SFP uplinks

EMI

 
© АСПЕКТ СПб, 2009. Все права защищены.