這邊描述的主要是ISR I和ISR II 路由器,也就是19, 29, 39的路由器
Cisco IOS的License升到15.0版的時候,進行過大幅度的修改
因此兩種License的說明會以12.4前和15.0後說明
12.4前
以前的時代所使用的License版本繁多
要切換到不同功能的方法是 “安裝新的IOS”,而不是安裝License檔案
在12.4版後,全部的IOS都支援SSH功能
這個時期的License是所謂的 “榮譽License”,有點像誠實商店,先付錢買進階的功能,然後再變更ios,當然也可以想辦法找到ios然後自己變更
IP Base – 最基本的作業系統
IP Voice – 多了一些VoIP功能
AdvSecurity – 提升安全性相關的功能
SPServices – 服務提供商常用的功能
Enterprise Base – 想要跑完整的路由協定嗎,需要買這個
AdvIPServices – 包含Advanced Security和 SP Services的功能
EntServices – 包含Enterprise Base和 SP Services的功能
AdvEntServices – 包含全部的功能
15.0以後
License的變化變少了
要使用新的功能要先安裝License檔案,然後重開機就可以,不用變更IOS映像,但一定要花錢買License才能使用這些功能
IP Base – 最基本的License,買硬體就有,終於可以用完整的路由了
Security – 讓Router變得像防火牆!! 其中SSLVPN、IPS和Content Filtering這三個功能要額外買
UC – 如果要把Router當作IP PBX的話要買這個,但電話太多還是買License
Data – 一些大型機房比較會用到的功能,MPLS、GLBP、IP SLA (!!)
如果要全部功能都有,那就要買三個License,通通裝進去,這樣就有全部功能
官方建議的12.4轉換到15.0的License購買表格,或者可以用Cisco Software Selector
| 12.4的功能 | 建議購買的15版License |
| IPBase | IPBase |
| IP Voice | UC |
| Enterprise Base | DATA |
| Enterprise Services | DATA UC |
| SP Services | DATA UC (主要看有沒有用到這些功能) |
| Advanced Security | SEC |
| Advanced IP Services | SEC UC DATA (主要看有沒有用到這些功能) |
| Advanced Enterprise Services | SEC UC DATA |
映像檔的的命名原則
12.4以前,ios所擁有的功能會寫在檔案名稱上
15以後都用universal表示,因為已經內含這些功能了,就等你花錢買
k9 – 內建較強的加密技術,3DES/AES的加密功能
k8就是內建較弱的加密技術 (DES),如果手上有 k8 的設備,可以免費下載 k9的License
TYPE內的第一個英文字 – ios的執行地點
f – flash,可以在flash內執行IOS
m – RAM,可以在記憶體內執行IOS (最常見)
r – ROM,在ROM裡面執行IOS
l – 映像檔可以再重新分配
TYPE內的第二個英文字 – 壓縮格式
z – 使用zip壓縮 (最常見)
x – 使用mzip壓縮
其它的License
2960交換器
現在買到的應該是2960-X系列,分成3個版本
LAN Lite – 陽春版,沒有RPS、PoE、DHCP snooping等進階安全功能
LAN Base – 一般購買的交換器都是這個版本,LLDP、MLD和進階安全功能ARP inspect等
IP Lite – 可以用靜態路由,只限2960-X以後才有
不同版本間不能升級或降級,因為硬體本身就不支援
網路上已經有整理好的表格,或者可以上Cisco Feature Navigator查看需要的版本
6500和4500系列的交換器
IPBase的功能沒有完整的路由功能,要買到IP Service才有
其它還有Nexus系列的產品和安全的ASA系列(Source Fire),還有無線等,一堆License
好用的Cisco網站
Cisco Feature Navigator
http://www.cisco.com/go/fn
Cisco Software Selector
https://tools.cisco.com/security/center/selectIOSVersion.x
Cisco IOS Software Bug Toolkit – 需要在Cisco上註冊帳號
https://www.cisco.com/cgi-bin/Support/Bugtool/launch_bugtool.pl
注意 :
universalk9 和 universalk9-npe的差別
npe 描述很重要
npe代表的是不含payload加密的功能,如IPsec就是會把payload加密的功能,npe不能使用IPsec等其它類似的功能。
npe主要是販賣給某些國家,這些國家禁止使用強效的加密能力
另外,一旦把Cisco給的License Key上網註冊到某一台路由器後,License就不能再轉移到其它路由器上
除非設備故障,維修後送一台新的,這個時候會拿到一個RMA Number,把RMA 、License KEY、新舊設備的序號備齊才能做License的轉移
