https://network-switch.com/pages/about-us
Будь то вывод из эксплуатации устаревшего роутера филиала или стандартизация на новой платформе на нескольких площадках, плавная замена — это подготовка, а не удача. Это сквозное руководство показывает, как спланировать, организовать и выполнить чистый переход к семейства ISR 4000 от Cisco — ISR4321, ISR4331, ISR4431 и ISR4461, с минимальными нарушениями и максимальной уверенностью. Вы получите контрольные списки, таблицы карт и практические шаги проверки, которые можно использовать сразу.
Для кого это руководство?
- ИТ-менеджеры консолидируют оборудование между малыми и средними филиалами.
- Сетевые инженеры, переходящие с устаревших ISR/G2/ASR1k/Catalyst IR на ISR 4000.
- MSP стандартизируют на предсказуемом, повторяемом миграционном подходе.
Перед началом замены
1. Discovery: Знайте, что вы заменяете
Прежде чем касаться винта стойки, зафиксируйте функции, которые выполняет ваш текущий роутер. Это предотвращает срыв «неожиданных функций» после перехода.
Чек-лист обнаружения (сохранить как ранбук)
- WAN и LAN: типы схем, передачи (RJ45/SFP), VLAN, VRF, IP-адресация, DHCP-диапазоны.
- Маршрутизация: статические маршруты, области OSPF, EIGRP AS, BGP соседи/политики, исходный код маршрутов по умолчанию.
- безопасности: ACL, правила межсетевого экрана на основе зон, NAT (статический/динамический/PAT), VPN между сайтами, удалённый доступ.
- Сервисы: DNS-переадресация, NTP, AAA (RADIUS/TACACS+), SNMP, NetFlow/телеметрия, Syslog-целевые функции.
- Голос/коллаборация: требования к SRST, CUBE, DSP, регуляторные параметры, настройки живучести.
- QoS: Формирование WAN, очереди приоритетов для голосовых и видео, карты политик/карт классов.
- управления: внеполосный доступ, SSH-ключи, управление VRF, баннеры/сертификаты.
- Аппаратные: используемые модульные отсеки (NIM/SM-X), ожидания PoE, SFP/SFP+ оптика, консоль и питание.
- Запас пропускной способности: пик/95-я загрузка, процессор в часы загруженности, характеристики размера пакета.
Совет: экспортируйте наследственную конфигурацию и аннотируйте каждую найдённую функцию. Если никто не может объяснить строфу, считайте, что она важна, пока не доказано обратное.
2. Выберите правильный ISR 4000
Все четыре модели работают на IOS XE и имеют схожий набор программных функций; Различия — это вместимость, слоты и запас по голове. Используйте масштаб бизнеса и горизонты роста для принятия решения.
Шпаргалка для выбора модели
| Профиль бизнеса | Рекомендуемая модель | Почему |
| Всплывающее окно для небольшого филиала / розничной торговли | ISR4321 | Компактная площадь; экономный; достаточно для базовой маршрутизации, NAT, небольшой VPN. |
| Загруженный филиал / штаб-квартира малого и среднего бизнеса | ISR4331 | Больше пропускной способности, памяти и опций модуля; Комфортный запас для роста. |
| Крупный филиал / региональный офис | ISR4431 | Значительно большая ёмкость; более богатое расширение; обрабатывает большие нагрузки на крипто/QoS. |
| Штаб-квартира на периферии кампуса / предприятие | ISR4461 | Высочайшая производительность и масштабируемость; Лучший вариант для плотных сервисов и дублирования. |
Если вы не определились между двумя моделями, склоняйтесь вверх. Дополнительный запас головы сегодня стоит дешевле, чем срочный погрузчик позже.
Руководство по настройке
1. Сопоставьте старое с новым: интерфейсы, функции и политики
Рабочий лист по интерфейсу и картографированию признаков
| Функция | Устаревшее устройство | Целевой ISR | Примечания |
| Передача WAN | Gi0/1 (SFP от ISP) | Gi0/0/0 (SFP) | Подтвердить тип оптики и полярность волокон; Этикетка перед вырезкой. |
| LAN-шлюз | Gi0/0 (Багажник) | Gi0/0/1 (Багажник) | Реплицировать родные VLAN и разрешённые VLAN. |
| Внедиапазонное управление | FastE0/0 | Гигабитное управление (если используется) | Место в руководстве VRF; Ограничить через ACL. |
| IP-адресация | 203.0.113.2/30 | Одинаковый | Оставьте старые адреса для бесшовной замены. |
| Маршрут по умолчанию | Статический сигнал для провайдера | Статика/BGP | Если переходите в динамический режим, держите статичный до сходства BGP. |
| NAT | PAT + статические для серверов | Одинаковый | Повторное использование объектов/пулов; Проверяйте переводы на Cutover. |
| VPN | IKEv2 S2S в штаб | IKEv2 на ISR | Предварительный обмен ключами/сертификатами; Избегайте опечаток в PSK. |
| QoS | LLQ для голоса | Та же политика MQC | Подтвердите имена карт классов и DSCP. |
| Лесозаготовка | Syslog 10.10.10.10 | Одинаковый | Не забывайте о экспортёрах SNMP и NetFlow. |
Подготовка предварительной стадии (лабораторная)
От этого зависит предэтапная жизнь в производстве — потому что так и есть.
- Image and boot: Установите желаемый релиз для iOS XE; установить загрузочную переменную; Проверьте версию шоу.
- Идентификация идоступа: имя хоста, домен, криптоключи, SSH v2, AAA, ролевой CLI, управление ACL.
- Лицензирование: Подготовьте умное лицензирование или право на использование в соответствии с политикой; Подтвердите статус права.
- Базовая конфигурация: Лупбэки, управление VRF, NTP, DNS, часовой пояс, баннеры. SNMPv3 (с аутентификацией/привилегией), Syslog с серьёзностью, NetFlow/экспорт телеметрии. Отключите устаревшие небезопасные сервисы (telnet, http, если не нужно, CDP там, где утечка).
- Feature build: Routing: репликация статических маршрутов; настроить соседей OSPF/BGP/EIGRP; Сохраняйте пассивные интерфейсы. NAT: зеркальные объектные группы, пулы, карты маршрутов; Проверяйте внутренние и внешние задания. VPN: предложения/политики IKEv2, преобразования IPsec, туннельные интерфейсы; предварительно загружайте IP-адреса пиров. ZBF: зоны/пары зон, карты классов, карты политик; Подтвердите действия инспекции. QoS: полицейская деятельность/формирование; LLQ для VoIP; WRED/CBWFQ, где это применимо.
- Тесты на рассудок (лабораторные): Пинг/трассирующий маршрут через NAT, имитация вверх и вниз по потоку. Установите тестовый туннель IPsec для лабораторного партнёра. Проверьте объявления маршрутов и их принятие. Подтвердите использование Syslog/SNMP в вашем NMS.
- Конфигурации экспорта: Сохранить золотого базового и site-специфическую дельту; Оставьте оба варианта под контролем версий.
3. Выберите способ среза
A) Параллельная (избыточность первого перехода) — минимальные сбои
Запускайте новые и старые рядом, используя HSRP/VRRP/GLBP на локальной сети. Сделайте новый ISR резервным с меньшим приоритетом. В течение окна переключите приоритет (преемпт), чтобы стандартный шлюз переместился на новый роутер без контакта с конечными хостами.
Плюсы: Прозрачный для пользователя, быстрый откат путём изменения приоритета обратно.
Минусы: Требуется свободные порты и место для переключателей; некоторые передачи через WAN нельзя дублировать.
B) Маршрутизация пиринга — контролируемая сходимость
Заранее поставьте OSPF/BGP смежности с ядром/дистрибутивом. В крайний момент снимайте префиксы на старом роутере и рекламируйтесь с нового ISR.
Плюсы: Elegant в проложенных сердечниках; Легко откатить — восстановив старые рекламные объявления.
Минусы: Требует чистого проектирования маршрутов и смены дисциплины.
C) Физическая замена — классический период обслуживания
Отключите старый роутер, перенесите физические WAN/LAN соединения на ISR и включите питание.
Плюсы: Проще для небольших сайтов.
Минусы: Всё или ничего; Откат означает перемещение кабелей назад. Используйте только тогда, когда параллель невозможна.
4. План перехода (минута за минутой)
- Заморозка и коммуникация (с 7 дней до первого дня)одобрение изменений, коммуникация с заинтересованными сторонами, утверждение тестового плана. Проверьте поставки: ISR, рельсы, блок питания, оптика, кабели, доступ к консолям. Подтвердите внеполосный путь (LTE/последовательная консоль) на случай, если внутридиапазонная система выходит из строя.
- Подготовка до окна (T-60 до T-15 мин)Резервные копии старых: Show run, show tech, таблицы маршрутизации, NAT-привязки, крипто-SA — архив. Базовый: запись задержки, потерь, пропускная способность, процессор на устаревшем роутере для сравнения. Стойка и питание ISR; Connect MMT; Пока не меняйте производственные линии. Финальная конфигурационная дифференциальная: перепроверьте адреса, ключи, ACL.
- Выполнение (T-0)Параллельный метод: изменение приоритета HSRP/VRRP для активного шлюза ISR; Подтвердите смены ARP/ND. Метод маршрутизации: снятие на старом (закрытие или фильтр), реклама на новом; Подтвердите стабильность соседа. Физический обмен: перемещение кабелей WAN/LAN; Постепенно открывайте интерфейсы (сначала WAN, потом LAN).
- Валидация (от T+5 до T+30) — не пропускать Layer-3: показать краткое описание IP-интерфейса, маршрут по умолчанию присутствует, доступен следующий переход в верхнюю цепь. Маршрутизация: соседи вверх (показать ip OSPF соседа / показать сводку BGP), счёт маршрутов нормальный. NAT: увеличение переводов в реальном времени; Тестируйте исходящие веб- и входящие опубликованные сервисы. VPN: установлены SA (показать crypto ikev2 sa / показать crypto ipsec sa), удалённая доступность. QoS: дрожь/потеря голоса нормальный во время прямого эфира; Класс правильно счётит инкремент. Наблюдаемость: Syslog видим; Графики SNMP живы; NetFlow заполняет; Резервная конфигурация сохранена. Apps: POS-терминалы, ERP, электронная почта, VoIP, видеоконференция — пропустите через чек-лист ваших заявок.
- Стабилизация (T+30 до T+120)процессор/мем/пропускная способность часов; Проверьте, что в ZBF нет выпадков полиса. Очистите временные/статичные маршруты, используемые для стадирования.
- Схемы передачиобновления, IPAM, CMDB. Сохраните конечный «как собрано» конфигурации. Запланируйте проверку после изменений.
Откат: если что-то пойдёт не так
Откат — это решение, а не панический ход. Выберите порог (например, 15 минут критического воздействия на сервис), чтобы его спровоцировать.
- Параллельный метод: восстановить приоритет HSRP/VRRP, чтобы снова активировать старый шлюз.
- Метод маршрутизации: повторная реклама со старого устройства; подавлять от ISR.
- Физическийзамены: вернуть кабели назад, отключить ISR, восстановить исходные линии.
Сохраняйте старый роутер как минимум на полный бизнес-цикл (или дольше, если сайт критически важен).
Распространённые шаблоны конфигурации (примеры IOS XE)
Эти примеры иллюстрируют структуру; Адаптируйте имена и детали к своему окружению.
NAT (внутри/снаружи с перегрузкой и шумом)
интерфейс GigabitEthernet0/0/0
описание WAN
IP-адрес: 203.0.113.2 255.255.255.252
IP NAT снаружи
интерфейс GigabitEthernet0/0/1
Описание LAN
IP-адрес 10.20.0.1 255.255.255.0
IP NAT внутри
стандарт списка доступа ip ACL-LAN
разрешение 10.20.0.0 0.0.0.255
ip nat внутри списка исходных кодов ACL-LAN интерфейс GigabitEthernet0/0/0 перегрузка
IP nat внутри исходного источника статический TCP 10.20.0.10 443 203.0.113.10 443
IKEv2/IPsec site-to-site
Предложение crypto ikev2 IKEV2-PROP
Шифрование AES-CBC-256
Integrity SHA256
Группа 14
Политика крипто ikev2 IKEV2-POL
Предложение IKEV2-PROP
crypto ikev2 keyring KR
Штаб-квартира сверстников
адрес: 198.51.100.10
Местные BRANCH_KEY с предварительным совместным ключом
Удалённый HQ_KEY с предварительным совместным ключом
профиль crypto ikev2 IKEV2-PROF
Удалённый адрес сопоставления идентификации 198.51.100.10 255.255.255.255
Аутентификация, локальная предварительная обработка
Удаленная аутентификация, предварительный обмен
Местный KR связывает ключами
crypto ipsec transform-set TS esp-aes 256 esp-sha256-hmac
Туннель режимов
крипто-ipsec профиль IPSEC-PROF
множества преобразования-множества TS
интерфейс Tunnel10
IP-адрес 172.16.10.2 255.255.255.252
туннельный источник GigabitEthernet0/0/0
Пункт назначения тоннеля 198.51.100.10
Защита туннеля IPSEC профиль IPSEC-PROF
ZBF (простой внутренний→внешний осмотр)
Зона безопасности ВНУТРИ
зона безопасности СНАРУЖИ
тип class-map inspect match-any CM-INSIDE
Совпадение протокола TCP
Матч протокола UDP
Протокол матча ICMP
тип policy-map inspect PM-IN-OUT
тип класса инспектировать CM-INSIDE
осматривать
зона пары безопасности ZP-IN-OUT источник ВНУТРИ назначения СНАРУЖИ
тип сервис-политика инспектировать PM-IN-OUT
интерфейс GigabitEthernet0/0/1
зона безопасности ВНУТРИ
интерфейс GigabitEthernet0/0/0
безопасность члена зоны СНАРУЖИ
QoS (LLQ для голоса)
policy-map WAN-OUT
класс-класс-стандарт
Справедливая очередь
класс ГОЛОС
приоритетный процент 20
!
class-map match-любой ГОЛОС
Матч DSCP EF
!
интерфейс GigabitEthernet0/0/0
выход сервис-политики WAN-OUT
Общие решения
Чек-лист перед переходом (распечатать это)
| Категория | Пункт | Статус |
| Контроль изменений | Одобрение, окно, список контактов | ☐ |
| Конфигурация | Архивирована резервная копия наследия; Новая конфигурация запущена | ☐ |
| Лицензирование | Смарт-аккаунт подготовлен / лицензии подтверждены | ☐ |
| Скобяные изделия | Рельсы, блок питания, оптика, трансиверы, консоль | ☐ |
| Кручение | Маркировка WAN/LAN; Запасные патч-корды | ☐ |
| Доступ в OOB | Тестировали сотовую связь/консоль | ☐ |
| Параллельный план | Конфигурация и тестирование HSRP/VRRP (если использовалось) | ☐ |
| План маршрутизации | Соседи и фильтры подготовлены | ☐ |
| План испытаний | Владельцы приложений готовы к тестированию; Определен спусковой крючок с откатом | ☐ |
| Контроль | Достижимые цели Syslog/SNMP/NetFlow | ☐ |
Матрица валидации после перехода
| Тест | Командование / Действие | Критерии сдачи |
| Доступность вверх по течению | гудение | <1% потерь, низкая задержка |
| Маршрут по умолчанию | Показать IP маршрут 0.0.0.0/0 | Правильный подарок next-hop |
| Смежности маршрутов | Краткое содержание BGP/OSPF/EIGRP | Соседи встали, стабильны |
| Переводы NAT | Показать переводы IP nat | Увеличение счетчиков |
| VPN | Показать крипто ikev2 SA / IPSEC SA | IKE/IPsec вверх, потоки трафика |
| QoS | Показать интерфейс policy-map | Счётчики увеличиваются, нет падений в LLQ |
| Лесозаготовка и NMS | Проверьте syslog и графики | Полученные события; Непрерывные графы |
| Приложения | Тесты дыма в бизнес-приложениях | Все зелёные / владельцы подтверждают |
Укрепление безопасности не стоит пропускать
- Применяйте только SSH, отключайте Telnet/HTTP, если это не нужно; Если нужен графический интерфейс, предпочитаю HTTPS с современными шифрами.
- Используйте AAA с TACACS+/RADIUS и наименее привилегированными ролями RBAC.
- Заблокировать управление с разрешёнными ACL и управляющим VRF.
- Развернуть SNMPv3 (аутентификацию/привилегию) и ограничить просмотры; Избегайте V2C в производстве.
- Отключить неиспользуемые сервисы и интерфейсы; Без сирот-подинтерфейсов.
- Настройте NTP с помощью аутентификации; Постоянный часовой пояс и лесозаготовка.
- Регулярно меняйте ключи и учетные данные; Храни конфигурации в контроле версий с очищенными секретами.
Быстрое устранение неполадок
- Интерфейс вверх/вниз? Проверьте скорость/дуплекс/тип оптики; Проверьте медиа-тип и переговоры.
- Нет интернета? Подтверждение NAT внутри/снаружи распределения; обеспечьте стандартный маршрут и разрешение ARP/ND.
- VPN не работает? Несовпадающие предложения IKE, PSK/сертификаты или неправильная идентификация; Проверьте смещение по такту (NTP).
- Закрылки для маршрутизации? проблемы с MTU на туннелях; отсутствие IP-сети OSPF point-to-point на линиях; дублировать идентификаторы маршрутизатора.
- Голос рваный? LLQ не применяется при выходе из WAN; верхних шейперов, дробящих EF; Неправильный DSCP Trust at Access.
Где покупать (и быстро стандартизировать)
После того как вы подтвердите свой список материалов, вы сможете найти Cisco ISR4321, ISR4331, ISR4431 и ISR4461 с помощью необходимой оптики и модулей network-switch.com. Если вы стандартизируете на нескольких площадках, попросите пакет (роутер + трансиверы + умное лицензирование + предварительная замена), чтобы упростить логистику и сократить сроки доставки.
Часто задаваемые вопросы
Вопрос 1: Могу ли я клонировать старую конфигурацию?
Ответ: Копировать/вставить — это нормальная отправная точка, но перечитывайте каждую строку. Названия интерфейсов, поведение NAT и строфы ZBF могут различаться между платформами и релизами IOS XE.
Вопрос 2: Как минимизировать простой?
A: Используйте параллельные HSRP/VRRP или заранее установленные маршрутизационные пиринги. Единственный неизбежный удар — это WAN-кат, если нужно переместить одну передачу.
Вопрос 3: А как насчёт SD-WAN?
Ответ: платформы ISR 4000 поддерживают SD-WAN. Решите заранее, будете ли вы запускать традиционный режим IOS XE или SD-WAN — конфигурации и контроллеры существенно различаются.
Вопрос 4: Как долго стоит хранить старый роутер?
Ответ: Хотя бы один полный бизнес-цикл. Некоторые крайние случаи появляются только через несколько дней (например, ежемесячная пакетная работа).
Заключение
Замена роутера ветви — это не риск, это процесс. Проведя тщательное исследование, выбрав правильный Cisco ISR4321/4331/4431/4461 для вашей шкалы, предварительно подготовив в лаборатории, выбрав подходящий метод разреза и целенаправленно валидируя, вы получаете спокойную, предсказуемую миграцию и более чистую основу для всего, что работает сверху.
Когда вы будете готовы к стандартизации, network-switch.com сможете предоставить необходимое оборудование и оптику, а также единообразные артикулы для повторяемых развертываний.
Эта статья помогла вам или нет? Расскажите нам на Facebook и LinkedIn . Мы будем рады услышать вас!
