本文主要是对ios操作系统安全体系结构的介绍，有需要的朋友可以参考一下。

防火墙

Cisco通过建议客户道德定义他们的安全政策来解决这一问题。一旦定义了这些政策，就可以采用多个安全组件来满足政策要求。Cisco IOS安全体系机构的组件包括：防火墙、访问管理、宿主安全、加密。

过去几年，路由器一般是企业的智能资产与其网络之间的唯一东西。路由器被独特地定位、设计和配备，以用来在各种级别的开放系统互连(例如OSI reference model)模型中控制及报告数据流。随着今天网络的可访问性及功能的提高、以及公司通过经济有效的远程访问设备连接，风险程度逐步降低。如果一个路由器被安排提供网络外围安全，那么它通常是指“防火墙路由器”。防火墙路由器内维护访问控目录(ACL)，ACL的主要功能是提供过滤。IOS安全提供大量的工具来帮助报靠ACL违规(即非法访问)

ACL违规记账

IOSACL违规记账：随着时间的推移，企业需要一个历史透视图来弄清哪些ACL已经经过测试。这种知识给网络管理人员提供了对入侵者是如何尝试进入某企业网络的一个了解。ACL违规记账提供来源和目的地地址信息、来源和目的地端口号码以及包个数。

ACL违规日志记录

IOS在今天的网络世界，提供强大的防火墙功能已不足以解决问题，网络管理人员需要一个集中化报告选项。过去，网络管理人员在发生损害之前不知道他们已经受到黑客的攻击。唯一可用的早期告区工具是扫描主机日志文件。尽管这仍然是一种优异的安全诊断方法，但是它不能很好地扩展。ACL报告工具通过提供违规信息和网络周边预防，给管理人员提供帮助。IOS包含ACL违规日志记录，给管理人员提供定期的系统日志记录，可以实时确实ACL违规。

网络地址转换

网络地址转换(NAT)：与全球Internet连接的网络数量急剧增加，造成了未来连接可用地址的迅速消耗。而World Wide Web对这种耗尽又起到了推波助澜的作用;而Internet正以每年30%到50%的速度发展。根据目前的估计，3到10年内，剩下的氖 Internet地址将全部用完。

Cisco IOS框架

专用 网络服务

IOS可以概念化为一个操作系统，为一个全面的协议族提供全面的网络服务。网络服务可以被分成许多不同的功能;下图将它们分成通用和专用服务。专用服务包括交换、路由以及几乎适用于跨局域网、广域网和IBM/SNA环境的所有数据联网协议的专门化服务。

通用网络服务

通用网络服务包括支持IOS体系结构的增值功能，并提供企业级解决方案，来满足客户对安全、服务质量、VLANs配置管理和路由以及(通信)流量管理的需求，进而提高网络性能和可靠性。通用网络服务还提供协议处理服务，例如转换、加密和压缩。

路由协议

通过网络互联，IOS支持许多路径恢复协议以及其他路由协议特性供基于政策的路由配置和管理。

安全

安全：重点强调特性要求，例如通过防火墙提供的资源保护，访问控制，以及与用户验证机制(例如锁定和密钥安全)的集成。

服务质量

服务质量：介绍在互联网内提供服务质量的IOS特性和功能。服务质量对多媒体应用程序支持至关重要。这里所讲座的IOS特性包括几种排队机制(这些可能在流量管理部分讨论)和资源保护协议(RSVP)。

虚拟局域网

VLANs：简要介绍Cisco在VLANs配置中部署路由和交换的IOS支持。

流量管理

流量管理：包括根据用户(来源和目的地)、局域网和广域网记迪斯科以及RMON标准支持进行的流量模式测量。本部分将讨论Cisco的NetFlow Switching(尽管理论上说可能属于服务质量部分)。

协议处理

协议处理：介绍多媒体和协议类型的集成、协议转换、加密和压缩以及IBM SNA和TCP/IP网际互连(取决于多协议路由和转换)的一般类别。SNA的TCP/IP集成在InterWorks Business Unit部分讨论。本部分将围绕压缩和协议转换介绍IOS特性。

总结

作为本单元的一个总结，我们将提供IOS市场模型。该模型包括5个功能性领域，所有领域都有许多相关的特性。它简单的提供了在一个网际互连解决方案的上下文内位IOS特性的另一种方法。

Cisco IOS处理办法集

从IOS Granularity到特性级

上图总结了IOS向解决方案集的发展过程。由于许多专门的网络服务特性已经从IOS核心分离，因而解决方案集是可能的。尽管Cisco目前能够提供它所说的特性集-例如企业特性集或桌面特性集，但是这些都是受到IOS核心和子系统相关性限制的预封装解决方案。随着解决方案集的发展，它们将获得得更加高级的层次地址：作为专门的特性实体，而且是作为核心或子系统定义去发展(不过，一般总会有某些级别的子系统定义。)

客户为重点的解决方案

IOS成为一咱以客户为重点的技术;它提供专门满足客户主要的技术及商业需求的网际互连功能和特性。客户可以在IOS基本平台之上有效地设计他们自己的特性体系结构。

可伸缩性和投资保护

由于客户选择满足他们要所需的核心特性，因此可以大幅度降低IOS开销。IOS可以利用客户现有的硬件和基础设施投资进行更好地扩展，从而提供投资保护以及更好的网络寿命周期拥有成本。

降低复杂性

IOS复杂性降低，并进而带为客户互联网络复杂性的降低。由于IOS系统及特性间相关性减少，因此解决方案集有助于使统一系统中可能发生的并行损害最小化。实际上，许多与一个全面特性IOS的实现相关的要求都可以实现最小化。

安全介绍

Cisco从几个方面考虑安全问题。在企业设备中、安全通常基于安全保护、闭路电视和卡密钥入口系统。有了这些措施，企业可以放心，他们的物理及智力资产将得到保护。Cisco的安全方案允许企业通过使基于政策的组件及IOS安全体系结构，来扩展这一模型。IOS安全体系机构已经经过10多年的技术革新发展历程、它为企业的安全政策提供基础。IOS安全基于多个重叠的解决方案，这些解决方案一起维护企业的安全完整性。

企业必须决定何时在用户的访问和工作效率与可能被用户视为限制的安全措施之间进行折衷。一方是访问和工作效率，另一方是安全。一个好的设计的目标是提供一个平衡，同时从用户的角度看尽可能少增加限制。有些非常合理的安全措施，例如加密，不限制访问和效率。另一方面，低劣的安全计划可能造成用户效率和性能的降低。那么，企业在维护安全的努力中要冒多大的访问和效率风险呢

设计目标

IOS是围绕下列目标设计的：

模块性：IOS为大量的协议和协议族提供支持，运行于多平台并坚持独立于硬件的设计标准(硬件隔离)。

速度最快：IOS能使Cisco为网络协议提供最快的平台实现。

网络互连：IOS支持包括路由、桥接和交换技术的需求。

高性能平台：IOS由多个RISC处理器体系结构(MIPSRxxxx、Motorola680xx)支持。

分布式：IOS为分布式体系结构的部署提供基础。

环境：IOS提供一个支持大型企业需求的软件开发环境。

多维支持

IOS为LAN介质，WAN协议，以及各种功能，包括路由、交换、集令、IBM、协议转换及许多其他服务提供支持。

设计结果

IOS设计为客户提供完成下列任务的能力：

建立特大规模的网络。

在远程访问链接中，维护多协议支持。

全面集成IBM/SNA和互联网络环境。

开发基于IOS功能的广泛的安全策略。

在互联网络内设计和维护优良的流量控制和服务质量参数。

优化网络带宽和操作资源。

支持互联网络上的多媒体应用。

路由器IOS 的升级方法

将系统软件备份到TFTP服务器 copy flash：tftp

将TFTP服务器中的系统软件下载到路由器中 copy tftp flash：

TFTP 软件可以从Cisco网站上下载，文件名为 Tftpstv.exe 此软件可在Windows 95/98/2000/NT上安装，在升级IOS前必须先运行此软件，并通过菜单设置Root 目录为新系统文件所在目录。

设置PC机IP地址与路由器以太网端口IP地址在相同网段

假设计算机的IP地址为：e.e.e.e

假设IOS文件放在C：\IOS 子目录下

在这台计算机上运行TFTP Server 软件，把文件目录设置为：C：\ios

在这台路由器上进入特权模式

Router#copy tftp flash

Address or name of remote host []?e.e.e.e

Source filename []?c5300-is-mz.121-2.bin

Destination filiname [c5300-is-mz.121-2.bin]?

Accessing tftp：//e.e.e.e/c5300-is-mz.121-2.bin …

Erase flash ：before copying ?[confirm]

Erasing the flash filesystem will remove all file!Continue?[confirm]

Erasing device … eeeeeeeeeeeeeeeeeeeeeeee….erased

Loading c5300-is-mz.121-2.bin from e.e.e.e (via fastethernet 0/0)

认识Cisco IOS的访问权限

许多工作在Cisco IOS之上的网络管理员从未费心去考虑过他们正在使用的权限等级或这些等级的意义。然而，Cisco IOS实