Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
647
Apresentações
9
Útil
0
Comentários

Sistemas operacionais Cisco - Uma breve odisséia

natanael0liveira
Spotlight
Spotlight

em ‎07-11-2024 09:16 AM

Ao longo do tempo a Cisco tem desenvolvido sistemas operacionais específicos para diferentes tipos de dispositivos, atendendo as necessidades dentro de cada escopo da área de redes e além disso, adotado diversas melhorias nestes sistemas de maneira que possam entregar a melhor performance possível dentro de cada categoria e ao mesmo tempo se adequar às necessidades de mercado. 

Com isso consegue garantir um desempenho otimizado para as plataformas, pois diferentes dispositivos possuem arquiteturas de hardware distintas, visto que um sistema operacional otimizado para um router pode não ser ideal para um switch ou um firewall. Sistemas operacionais específicos garantem que o hardware seja utilizado da forma mais eficiente possível. 

Este artigo irá trazer a construção dos principais " flavors"  de cisco OS apresentando seus objetivos e diferenças. 

Screenshot 2024-07-10 at 15.45.49.png

Serão apresentados aqui os seguintes sistemas operacionais: 

  • Cisco IOS  
  • Cisco IOS-XE
  • Cisco IOS-XR
  • Cisco NX-OS 
  • Cisco ACI-OS 
  • Cisco ASA-OS  
  • Cisco FX-OS  

 

IOS clássico  

Começando pelo velho conhecido dos analistas e engenheiros de redes e talvez o OS mais conhecido até o momento, nosso querido IOS clássico, a Cisco não o descontinuou oficialmente e ele ainda está em uso, porém a recomendação é a utilização de versões de IOS mais recentes de forma que o cliente possa suportar os avanços recentes das tecnologias. O IOS clássico como bem conhecido, é um OS monolítico muito versátil utilizado em diversos dispositivos, mas mesmo nos trazendo um bom desempenho não possui nenhum tipo de isolamento de processos, pois utiliza um espaço de memória compartilhada.  

Sua estrutura segue o seguinte formato: 

Kernel: O IOS clássico possui um núcleo monolítico onde o kernel ( proprietário cisco, não derivado de linux ou BSD ) e todos os drivers de dispositivo e serviços são executados no mesmo espaço de memória. Isso significa que todos os processos têm acesso direto ao hardware do dispositivo e compartilham o mesmo espaço. Isso facilita a comunicação entre processos, mas também significa que um erro em um processo pode afetar todo o sistema. 

Integridade: Todos os componentes essenciais do sistema operacional, incluindo protocolos de rede, drivers de dispositivo e serviços de sistema, estão integrados no kernel. 

Multitarefa Cooperativa: Isso significa que os processos cooperam entre si cedendo voluntariamente o controle do processador, um processo em execução deve finalizar suas operações ou ceder o controle para que outros processos possam ser executados. Se por acaso um processo não ceder a CPU voluntariamente, ele pode monopolizar a CPU impedindo que outros processos sejam executados.  

 

Screenshot 2024-07-10 at 15.52.31.png
 

Ele foi projetado com um foco claro em funcionalidades essenciais, como routing, switching e security, é simples em termos de design e operação, o que contribui para robustez e facilidade de uso em muitos cenários. Com a utilização de watchdog timers pode detectar e recuperar processos que ficam travados, por meio de mecanismos que reiniciam os processos ou até mesmo o próprio dispositivo em caso de falha crítica. No entanto, essa simplicidade também nos traz a falta de algumas das funcionalidades mais avançadas, que são demandadas pelo mercado atual, por isso a cisco tem desenvolvido outros sistemas, inclusive utilizando a base conhecida do IOS para alguns. 

IOS-XE  

O IOS-XE ( BinOS ) é uma evolução do IOS, projetado para oferecer capacidades mais avançadas. Sua primeira aparição foi na versão 3.x  ( 2012 ) introduzindo a utilização de um kernel Linux e uma arquitetura "modular", oferecendo maior flexibilidade, escalabilidade em comparação com as versões anteriores, o ponto principal talvez, seja que ele roda o IOS como um daemon ( IOSd ) que basicamente que executa as funcionalidades principais do IOS tradicional na nova estrutura IOS-XE, mas apesar da modularidade, o IOSd é o processo central para a operação do dispositivo, portanto, problemas nele têm um impacto significativo, pois mesmo com uma certa modularidade o IOSd depende do kernel Linux e de outros processos para recursos e suporte enquanto fornece as principais funcionalidades. Por exemplo, mesmo o processo Routing and Forwarding operando de forma isolada ao IOSd, depende dele para instruções sobre como processar e encaminhar o tráfego o IOSd implementa as lógicas e algoritmos necessários para essas operações.  

A estrutura é baseada da seguinte maneira: 

Kernel: O IOS-XE utiliza um kernel Linux como base, proporcionando estabilidade e flexibilidade para executar diferentes processos, também é responsável pela gestão global da memória no sistema. 

Processos Independentes: Funcionalidades como routing, switching, security, e management são executadas como processos independentes. 

Multitarefa Preemptiva: O sistema operacional decide quando um processo deve parar de funcionar e passar o controle para outro processo. 

Hosted Apps: São aplicativos hospedados que podem ser executados diretamente no sistema operacional IOS-XE utilizando a funcionalidade de container. Esses aplicativos são projetados para oferecer funcionalidades adicionais e serviços específicos. 

Control Plane: Gerencia o encaminhamento de pacotes, configuração de roteamento dinâmico (OSPF, BGP, EIGRP, IS-IS), e QoS  

Data Plane: Responsável pelo encaminhamento de pacotes de rede e funcionalidades como roteamento IP, MPLS, switching Ethernet. 

Management Plane: Responsável por receber comandos de configuração enviados através da CLI, APIs RESTful ou outras interfaces de gerenciamento, gerencia os processos de autenticação de usuários entre outros. 

Principais Módulos do Cisco IOS-XE:

      1. Módulo de Gerenciamento: Gerencia a configuração, o monitoramento e o gerenciamento do dispositivo. 

Exemplo de Processo:  

IOSd: Cisco IOS Daemon, responsável pelo gerenciamento geral do sistema operacional, implementação de protocolos de roteamento, e interfaces de gerenciamento como CLI, SNMP, NETCONF, e RESTCONF. 

      2. Módulo de Roteamento: Implementa protocolos de roteamento dinâmico (OSPF, BGP, EIGRP, etc.) e decisões de encaminhamento. 

Exemplos de Processos

OSPFd: Processo responsável pela execução do protocolo OSPF. 

BGCP: Processo responsável pela execução do protocolo BGP. 

EIGRPd: Processo responsável pela execução do protocolo EIGRP. 

      3. Módulo de Switching: Gerencia o encaminhamento e a comutação de pacotes dentro do switch. 

Exemplo de Processo:  

CEF: Cisco Express Forwarding, um mecanismo proprietário de comutação de pacotes super eficiente usado para encaminhamento de pacotes. 

      4. Módulo de Segurança: Implementa funcionalidades de segurança como firewalls, VPNs. ACLs. 

Exemplos de Processos

Firewall e IPsec: Processos que implementam políticas de segurança e inspeção de pacotes e conexões VPN utilizando IPsec 

      5. Módulo de Energia: Gerencia o consumo de energia do dispositivo. 

Exemplos de Processos:  

Power Manager: Processo que gerencia a alocação e o consumo de energia em diferentes componentes. 

      6. Módulo de Alta Disponibilidade: Implementa mecanismos de redundância e failover para garantir alta disponibilidade. 

Exemplos de Processos:  

HA Manager: Gerencia a sincronização de estado e a transição de failover em dispositivos em cluster. 

Screenshot 2024-07-10 at 16.20.56.png

Por vezes, essa quantia de informação pode parecer confusa, Estrutura, módulos e processos independentes mas intimamente ligados e etc… Mas o objetivo deste artigo é justamente esclarecer alguns desses pontos, no caso do IOS-XE onde rodam esses módulos  ? Como isso se liga a estrutura ?  

Vamos fazer uma assimilação.  

Na estrutura control-plane que lida com a gestão do processamento de informações como configuração, gerenciamento de protocolos de roteamento, atualizações de tabela de roteamento e etc… são associados os Módulos de management, routing e security, management sendo ligado ao processo do IOSd, routing sendo ligado aos processos de protocolos de roteamento e security ligado aos de políticas de segurança e assim por diante, já no data-plane o módulo de switching é associado, este sendo ligado ao processo CEF.  

Estes planos interagem de forma coordenada para garantir o funcionamento do sistema como um todo.  

Já no IOS-XE 16.x e versões mais recentes, a arquitetura permite trabalhar com subsistemas IOSd, como management, routing, switching, security, power manager e high availability de maneira independente, facilitando alterações específicas conforme necessário, sendo possível "atualizar" ou corrigir partes específicas do sistema operacional sem a necessidade de reiniciar o dispositivo inteiro. 

Screenshot 2024-07-10 at 16.30.46.png

Em caso de lançamento de uma atualização de segurança para um protocolo de roteamento por exemplo, você pode baixar o pacote especifico e aplicá-lo sem interromper outras operações do dispositivo, ou se um subsistema qualquer apresentar problemas, isso pode ser isolado e diagnosticado automaticamente, sem impactar diretamente outros subsistemas. As atualizações completas também não geram mais indisponibilidade total, isso é possível em conjunto com o mecanismo ISSU (In-Service Software Upgrade) que permite que você atualize o software enquanto o dispositivo continua a encaminhar o tráfego de rede. Isso é alcançado usando redundância de hardware ( Stack ou VSS ) e software para garantir que a operação seja contínua durante a atualização, basta consultar a documentação e ver se o modelo de equipamento suporta essas funcionalidades. 

Screenshot 2024-07-10 at 16.36.41.png

Uma novidade também é o IOS-XE DB (SysDB) que mantém informações de estado dinâmico para vários protocolos de rede, como OSPF, BGP, EIGRP, entre outros. Isso inclui informações sobre vizinhos, rotas aprendidas e decisões de roteamento, além disso o SysDB também armazena configurações do dispositivo, com isso em caso de falha ou recuperação de processo ele retorna ao seu estado " normal " rapidamente. 

Screenshot 2024-07-10 at 16.38.06.png

o IOS-XE 16.x e versões posteriores representam uma grande evolução em relação às versões mais antigas, em termos de resiliência e funcionalidades, pois suporta novos recursos e protocolos que melhoram a funcionalidade e a adaptabilidade às necessidades de redes modernas, como SD-WAN, tópicos avançados de IPv6, entre outros. 

IOS-XR 

IOS-XR foi projetado principalmente para roteadores à nível de operadora ou que necessitam executar roteamento de alta capacidade, é conhecido por sua alta disponibilidade e confiabilidade. Ele inclui recursos avançados de redundância e recuperação de falhas, como suporte a ISSU (In-Service Software Upgrade), capacidade de hot-swapping e recuperação de estados de protocolos em tempo real com SysDB. O kernel é baseado na plataforma QNX Neutrino, essa escolha de basear o IOS-XR no QNX Neutrino permite à Cisco oferecer um sistema operacional altamente escalável, pois oferece suporte a uma arquitetura de microkernel. 

Sua estrutura é composta por estes componentes: 

Microkernel e Arquitetura Modular: utiliza um microkernel baseado no sistema operacional QNX Neutrino. Esta escolha permite que o sistema seja modular, com funcionalidades principais mantidas no kernel mínimo e outras funcionalidades implementadas como processos separados que rodam no espaço de usuário. 

Control Plane: responsáveis pela execução de protocolos de roteamento (RPP - Routing Protocol Process), gerenciamento de interfaces (IM - Interface Manager), sincronização de tempo e outros serviços de gerenciamento de rede. 

Forwarding Plane: Responsáveis pelo encaminhamento eficiente de pacotes de dados através do roteador. Eles utilizam informações da Forwarding Information Base (FIB) para decisões rápidas de encaminhamento 

Gerenciamento de Recursos e Segurança: Inclui módulos dedicados ao gerenciamento eficiente de recursos do sistema, como CPU, memória e interfaces 

Alta Disponibilidade: Implementa recursos como In-Service Software Upgrade (ISSU) e mecanismos de recuperação de falhas para garantir a continuidade operacional e minimizar o impacto de falhas de hardware ou software. 

Aplicações e Serviços Adicionais: Pode incluir aplicativos integrados e serviços avançados para otimização de rede, segurança avançada, serviços de vídeo e outras funcionalidades especializadas necessárias para ambientes de operadora e corporativos. 

Estrutura Distribuída: A arquitetura distribuída do IOS-XR permite distribuir cargas de trabalho e processos em vários módulos de hardware, melhorando a escalabilidade e o desempenho do sistema operacional em grandes redes. 

O microkernel do IOS-XR é projetado para ser o mais "leve" possível, mantendo apenas funcionalidades essenciais diretamente no núcleo. Isso inclui gerenciamento de processos, gerenciamento de memória e controle básico de hardware. 

 Screenshot 2024-07-11 at 09.17.33.png

 

Ele não usa um único arquivo, usa várias DLLs que compõem um recurso de software, DLLs fornecem um mecanismo para compartilhamento de memória e são carregadas e descarregadas conforme necessário. Por exemplo, o módulo de roteamento no IOS-XR pode ser implementado como uma DLL, então se houver uma atualização para o protocolo OSPF, apenas a DLL correspondente precisa ser atualizada, sem a necessidade de reinicializar todo o sistema.  

A separação dos pacotes de software no IOS-XR, contém o "mini" que é um pacote composto principal obrigatório para inicializar o sistema e "envelopes" que são outros pacotes adicionais. 

Screenshot 2024-07-11 at 09.18.51.png

Outra vantagem é que pela modularidade, protocolos de roteamento podem ser executados em RPs ( Route Processor ) diferentes, como uma control plane distribuída. 

 

Screenshot 2024-07-11 at 09.20.22.png

Além disso, os processos que residem fora do microkernel podem ser reiniciados sem afetar qualquer outra funcionalidade, apenas alguns processos mandatórios não podem ser reiniciados pois causariam a convergência da RP, esse processo de reinicialização é dinâmico e o sistema armazenará as informações em um processo peer ou PSS ( persistent storage ) e ao retornar recupera o seu estado anterior. 

Screenshot 2024-07-11 at 09.22.56.png

 Ele também foi inovado, na versão 6.0 ele introduz suporte completo para a arquitetura de 64 bits, aproveitando melhor a capacidade de memória e o desempenho de processadores mais modernos. 

Screenshot 2024-07-11 at 09.23.29.png

Trazendo também containerização de processos, que oferece maior isolamento, melhoria de performance em ambiente NFV, melhoria nas atualizações de patching via ISSU e suporte às aplicações de terceiros e novas demandas de mercado. 

Na versão 7.0 se manteve este padrão mas otimizando ainda mais os recursos e trazendo novas funcionalidades e aperfeiçoamento dos processos como um todo. 

NX-OS 

O principal objetivo do NX-OS é ser escalável, altamente disponível e robusto, ele foi projetado para atender às necessidades de ambientes Datacenter, oferece suporte avançado para virtualização, automação e gerenciamento. Ele é particularmente adequado para switches de alto desempenho e grandes infraestruturas. 

Ele é uma evolução do SAN-OS e utiliza a tecnologia chamada FCoE (Fibre Channel over Ethernet) permitindo que redes de armazenamento Fibre Channel sejam transportadas por infraestruturas Ethernet, também suporta jumbo frame para que o máximo de performance seja extraído no meio de transporte, principalmente se tratando de uma SAN em que qualquer problema ou falha de comunicação pode ser crítica.  

Além disso, traz funcionalidades como VDCs (Virtual Device Contexts), VPc (Virtual Port Channel ), OTV (Overlay Transport Virtualisation ), VXLAN (Virtual Extensible LAN) e também nos trouxe funcionalidades condicionais sendo possível ativar ou desativar algum protocolo de acordo com a necessidade. 

Screenshot 2024-07-11 at 09.45.10.png

Sua estrutura é foi construída da seguinte forma: 

Kernel e Base Linux: utiliza o Wind River Linux como base, uma distribuição comercial otimizada para dispositivos de rede, que oferece gerenciamento de recursos, controle de dispositivos e serviços do sistema operacional. 

Processos Modulares: permite que diferentes processos sejam executados independentemente, melhorando a estabilidade e a resiliência do sistema, com processos executados separadamente em control plane e data plane. 

Alta Disponibilidade: ISSU e SSO garantindo em software e hardware correções dinâmicas sem parada total do sistema  

Suporte a Virtualização: VDCs e VRF que Permitem a criação de múltiplos switches virtuais dentro de um único switch físico e virtualização de tabela de roteamento  

Data Center Networking: FCoE, OTV, VXLAN 

Automação: NX-API, Python Scripting e etc… 

Armazenamento Persistente ( PSS utiliza sistemas de arquivos padrão Linux para armazenamento persistente de logs, configurações e outros dados. 

O NX-OS foi projetado para aproveitar a arquitetura de hardware da linha Nexus e cada I/O Module é equipado com seu próprio hardware de encaminhamento (ASICs). 

Screenshot 2024-07-11 at 09.54.53.png

Ele também trabalha com 3 sub-serviços de para garantia de alta disponibilidade em software: 

System Manager: Gerencia e monitora continuamente os processos para garantir que estejam funcionando corretamente, em caso de falha de um processo, o System Manager pode reiniciá-lo automaticamente, também gerencia a distribuição das tarefas de atualização entre os supervisor e os módulos ( desempenhando um papel similar ao IOSd no IOS-XE ) 

Message & Transaction Service (MTS): Projetado para suportar um alto volume de mensagens, o MTS facilita a troca de mensagens entre processos que podem estar executando no mesmo módulo ou em módulos diferentes o que eficiência operacional. 

Persistent Storage Service (PSS): O PSS armazena dados críticos do sistema, como configurações de rede, tabelas de roteamento e logs, garantindo que essas informações estejam disponíveis após reinicializações e isso permite que o sistema recupere rapidamente as informações críticas após uma reinicialização. 

Se acontecer qualquer problema, o HA manager ( responsável pelos sub-serviços mencionados acima ) determina a melhor maneira de recuperação e sem impacto operacional, usando processo OSPF como exemplo, um tempo de recuperação de em torno de ~10ms é esperado em caso de problema identificado no processo. 

 Screenshot 2024-07-11 at 10.00.11.png

Atualizações de software seguem o modelo de ISSU utilizando os supervisors redundantes para garantir um processo sem interrupções, atualizando primeiro o Supervisor em Standby realizando a convergência e atualizando o restante. 

Screenshot 2024-07-11 at 10.03.18.png

ACI-OS 

Trago também uma breve menção sobre as novas versões de switches Nexus 9000, que podem operar em dois modos diferentes: NX-OS mode e ACI mode, quando um Nexus 9000 opera em ACI mode, ele utiliza o ACI-OS como seu sistema operacional. Neste modo, o switch se torna um "leaf" ou "spine" dentro da arquitetura ACI, operando sob a direção do APIC. 

Ele é um sistema operacional projetado especificamente para suportar a infraestrutura centrada em aplicativos (ACI), oferecendo automação, escalabilidade e visibilidade para datacenters, também permite que os administradores definam e apliquem políticas automaticamente a toda a infraestrutura, um grande avanço em direção à eficiência na gestão de datacenter. 

 

ASA-OS 

O ASA-OS é o sistema operacional utilizado nos dispositivos Cisco ASA (Adaptive Security Appliance). Esses dispositivos são firewalls de próxima geração que fornecem segurança avançada para redes corporativas, incluindo funcionalidades como firewall, VPN, prevenção de intrusões (IPS), controle de acesso e segurança de aplicativos.  

O ASA-OS utiliza LINA kernel que é uma parte fundamental do sistema e é responsável por muitas das funcionalidades principais. O LINA em si não é um kernel Linux, mas os dispositivos ASA incorporam uma camada de Linux subjacente para fornecer um ambiente de execução e gerenciamento para o LINA.

Isso permite que o ASA-OS aproveite algumas das funcionalidades do Linux que pode servir como um ambiente de execução para componentes auxiliares e processos que suportam o funcionamento geral do ASA, permitindo uma separação clara entre o kernel LINA e os serviços adicionais.  

A estrutura é a seguinte: 

Kernel: LINA é o núcleo do ASA-OS, responsável por executar as operações básicas do sistema, como gerenciamento de processos, controle de recursos e comunicação entre diferentes componentes do sistema, ele fornece a base sobre a qual todas as outras funcionalidades do ASA são construídas. 

Funções de Segurança: Módulo VPN, Módulo IPS, Módulo de Controle de Aplicações 

Gerenciamento e Monitoramento: ASDM, CLI,  

Integração e Suporte: Módulo de Integração com Firepower, Módulo de Alta Disponibilidade 

Como ele usa o LINA que é um kernel monolítico onde as funcionalidades principais são integradas, significa que atualizações críticas ou patches de segurança geralmente requerem a atualização do ASA-OS completo, não apenas de partes isoladas.  

No entanto quando conta com módulo de firepower algumas funcionalidades podem ser atualizadas de forma relativamente independente pois o módulo Firepower (SFR) para serviços como IPS, AMP, e URL Filtering pode ser atualizado independentemente do ASA-OS principal. Isso significa que é possível aplicar atualizações de regras de IPS e assinaturas de ameaças sem precisar reiniciar o ASA ou afetar a operação do firewall.  

O FMC gerencia os serviços Firepower e pode empurrar políticas e atualizações para o módulo SFR, permitindo uma certa independência na manutenção e atualização das capacidades de segurança avançadas, com isso, para uma abordagem mais moderna e modular, a Cisco introduziu o Firepower Threat Defense (FTD), que combina funcionalidades de ASA e Firepower em uma única imagem de software. 

 

FX-OS 

O Cisco Firepower é uma evolução do Snort IDS/IPS e também da solução FireSIGHT, ambos desenvolvidos pela SourceFire. A Cisco adquiriu a empresa em 2013 então incorporou essas tecnologias aos produtos da época, então surgiu a plataforma conhecida hoje como Cisco Firepower.  

Inicialmente as soluções eram separadas mas ao longo do tempo as evoluções levaram a cisco a chegar em um único appliance, com o LINA realizando ações relacionadas ao Data plane, e o código FTD realizando IPS, URL filtering, AVC, Security intelligence, pre-filtering e etc…  

O FTD ( firepower threat defense ) combina as funcionalidades de firewall do Cisco ASA com as capacidades avançadas de detecção e prevenção de ameaças, o FireSIGHT foi rebatizado como Firepower Management Center (FMC) pela Cisco e continua a ser a plataforma central de gerenciamento para dispositivos Firepower. 

Screenshot 2024-07-11 at 10.14.56.png

O sistema operacional do FTD é baseado no Cisco Linux, uma versão customizada do Linux desenvolvida pela Cisco para suportar as funcionalidades avançadas de segurança do FTD, integrando as capacidades de firewall do ASA com funcionalidades de IDS/IPS do Firepower, resultando em uma solução unificada.  

O fluxo de pacotes passa inicialmente pelo LINA ( ASA ) para redirecionamento e processamento inicial, antes de serem submetidos aos serviços de segurança do Firepower para inspeção detalhada e aplicação de políticas. 

Screenshot 2024-07-11 at 11.52.59.png

 Já o FX-OS (Firepower eXtensible Operating System) em si é, o sistema operacional usado nos dispositivos Firepower 2100, 4100 e 9300, ele fornece uma plataforma de hardware que possibilita a virtualização de múltiplas instâncias FTD em um único chassi, foi projetado para suportar grandes volumes de tráfego e fornecer alta disponibilidade e redundância através de módulos intercambiáveis. 

Sua estrutura é composta por: 

Kernel Linux Customizado: O FX-OS é baseado em um kernel Linux customizado para suportar as funcionalidades avançadas necessárias para dispositivos de segurança de alto desempenho, inclui drivers especializados para suportar o hardware específico dos dispositivos Firepower, garantindo desempenho e compatibilidade. 

Gerenciamento de Hardware: Projetado para suportar uma arquitetura modular, permitindo a instalação e gerenciamento de múltiplos módulos de hardware e software, gerencia os módulos de entrada/saída (I/O) e fornece abstração para as interfaces de rede e outros componentes. 

Instâncias de Segurança: Permite a execução de múltiplas instâncias de software de segurança, essas instâncias podem ser gerenciadas de forma independente garantindo que cada instância opere de forma segura e eficiente. 

Gerenciamento e Orquestração: O Chassis Manager é a interface de gerenciamento do FX-OS, permitindo a administração centralizada do chassi e de seus componentes, ele oferece uma interface de usuário (UI) gráfica para configurar e monitorar o hardware e as instâncias de segurança. Para gerenciamento das instâncias FTD específicas, o FX-OS íntegra o FDM ( Firepower device manager ) que oferece uma interface de gerenciamento simplificada para configuração e monitoramento das funcionalidades.  

A alocação de CPU e memória para dispositivos FTD é cuidadosamente gerenciada por um "Resource Manager", que monitora, ajusta e distribui os recursos conforme necessário, garantindo que cada instância FTD tenha a capacidade adequada. 

Sobre atualizações, embora o FX-OS e o FTD sejam projetados para trabalhar juntos, as atualizações no FX-OS podem ter implicações diretas nas instâncias FTD devido à sua dependência. As atualizações no FX-OS podem exigir reinicializações ou reconfigurações dos dispositivos gerenciados. Isso pode afetar temporariamente a disponibilidade e o desempenho das instâncias que estão sendo executadas, pois podem incluir melhorias no sistema operacional subjacente, atualizações de drivers de hardware e outras modificações que impactam diretamente a operação dos FTD.

Screenshot 2024-07-11 at 10.22.24.png

O FX-OS conta um supervisor ( Process Manager ) que monitora continuamente a integridade dos processos em execução, e quando um problema é detectado, o sistema executa diagnósticos automatizados para identificar e corrigir a causa da falha, executando scripts de auto-recuperação que aplicam correções, restaurando automaticamente a funcionalidade ( como IOSd no IOS-XE e system manager no NX-OS ), garantindo a continuidade do serviço e a minimização de interrupções. 

Os componentes críticos do sistema são modularizados para permitir que partes sejam reiniciadas ou substituídas sem afetar ele como um todo.  

Segue alguns exemplos: 

Falha de Processo: 

  1. O processo de inspeção de tráfego de rede falha. 
  2. O Process Supervisor detecta a falha e reinicia automaticamente o processo. 
  3. O sistema continua a funcionar normalmente com mínima interrupção. 

Falha de Módulo de Hardware: 

  1. Um módulo de rede (NIC) falha. 
  2. O sistema redireciona o tráfego através de um módulo redundante. 
  3. O administrador é notificado, mas a continuidade do serviço é mantida. 

Falha de Instância de Segurança: 

  1. Uma instância de FTD falha devido a um problema de software. 
  2. O sistema de HA ativa a instância secundária.
  3. A instância primária é reiniciada automaticamente e volta a sincronizar com a secundária. 

A cisco tem trabalhado continuamente no desenvolvimento dos seus produtos, além de software, nas apresentações do fabricante podemos ver novos processadores, conceitos de UADP, QFX e novos recursos de gerenciamento e automação que permitem uma performance cada vez melhor dos equipamentos. 

Espero que este artigo tenha conseguido esclarecer qualquer dúvida sobre estes sistemas operacionais, na minha opinião, conhecer um pouco do sistema operacional do equipamento ajuda muito o analista/engenheiro a entregar um serviço com qualidade diferenciada, visto que estamos passando por diversas mudanças no cenário e também estamos a mercê de falhas ou interrupções de sistemas a qualquer momento. 

Saber com o que podemos contar é crucial, ou até mesmo poder acelerar um processo de TAC com a fabricante ja é algo muito satisfatório. 

Obrigado pela leitura !!

Referencias: 

https://www.ciscolive.com/on-demand/on-demand-library.html?search=BRKARC-2090&search=BRKARC-2090#/session/1670024322112001dHNT

https://www.ciscolive.com/on-demand/on-demand-library.html?search=Catalyst%209000%20Series%20-%20IOS-XE%20Software%20Architecture%20&%20Innovations&search=Catalyst+9000+Series+-+IOS-XE+Software+Architecture+%26+Innovations&search.technology=scpsTechn...

https://www.alcatron.net/Cisco%20Live%202013%20Melbourne/Cisco%20Live%20Content/Data%20Centre%20And%20Virtualisation/BRKARC-3471%20%20Cisco%20NX-OS%20Software%20Architecture.pdf

https://www.cisco.com/c/pt_br/support/docs/ios-nx-os-software/ios-software-releases-110/13178-15.html

https://www.globalknowledge.com/us-en/resources/resource-library/articles/is-cisco-ios-xe-the-future-of-cisco/

https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-xr-software/index.html

https://pt.slideshare.net/slideshow/cisco-live-introduction-to-ios-xr-for-enterprises-and-service-providers/79480985#7

https://www.lammle.com/post/cisco-firepower-threat-defense-ftd-packet-flow/

ine.com

https://www.youtube.com/watch?v=nJ5xn5ejGpo&ab_channel=Cisco

 

 

 

 

 

 

 

 

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Pergunte aos Especialistas Comunidade de FSO Vídeo dos últimos eventos
Customers Also Viewed These Support Documents