особенности различных версий IOS

Версии отличаются

• исторически (версия, модификация)
• набором возможностей (feature set)
• ветки развития: только исправление ошибок, новое оборудование, экспериментальная и т.д.

Статус версии:

• GD - стабильная рабочая версия
• LD - бета
• ED - альфа

Контрольные суммы проверяются командами sum (BSD checksum) и md5sum (MD5).

Версии, модификации

• 11.0
• 11.1
• 11.2
• 11.3
• 12.0
• 12.1

версия 11.0(16)(у меня есть только 11.0(14)) - далее не интересна

Новое в версии 11.0 (начиная с 11.0(11) только исправляются ошибки):Отличия в X.25, DECnet, AppleTalk, VINES , IBM , ATM не описаны.

• улучшение в работе с пулом IP-адресов - 11.0(3)
• Multilink PPP для PPP
• одновременное использование Flash разных производителей - 11.0(3) - нужен загрузчик 10.2(7a)
• PPP callback - 11.0(3)
• куча нового в начальной версии не описана

Наборы возможностей (feature set) для версии 11.0(16)

Рассматривается только Cisco 2500 (все очень похоже на 11.1, потребности в памяти даны для Cisco 2500 - исполнение из флэша) :

1. IP(4 MB Flash/2 DRAM)
2. IP/IBM Base(8/4)
3. IP/IPX(4/4)
4. IP/IPX/IBM Base(8/4)
5. IP/IPX/IBM APPN(8/8)
6. Desktop(8/4)
7. Desktop/IBM Base(8/4)
8. Enterprise(8/6)
9. Enterprise/APPN(8/8)
10. CFRAD(4/2)
11. ISDN(4/2)
12. LAN FRAD(8/4)
13. Remote Access Server(4/4)

Ошибки версии 11.0(только те, которые мне интересны)

11.0(16):

• service password-encription обрезает пароли до 11 символов
• если serial установлен в loopback аппаратным сигналом, то чтобы вывести его из этого состояния, надо выдать команду no loopback

11.0(14):

• Cisco 2511 иногда перезагружается со словами sched-3-pagezero: low memory
• включение TACACS+ приводит к пожиранию памяти (появилось в версии 11.0(10)
• иногда бывает bus error
• OSPF иногда приводит к краху
• расширенный ACL иногда пропускает фрагменты, если включена журнализация
• если есть PPP, то иногда происходит Bus error
• иногда подвисает async контроллер вместе с 4 модемами

11.0(13):

• когда пингуешь синхронный DDR  с установленным сжатием HDLC, маршрутизатор сбрасывается
• перезагружай каждые 3 недели, если используется SPX
• не-TCP обратное соединение может вызвать грох маршрутизатора (началось с 11.0(11.1)

11.0(12):

• пакеты к TACAS+ могут быть задержаны на 9 секунд, если DNS не сконфигурирован на маршрутизаторе (либо сделайте no ip domain-lookup, либо добавьте IP адрес TACACS+ сервера к локальной таблице хостов)
• если задача заняла меньше времени, чем потребовалось чтобы достучаться до TACACS+, то stop-запись теряется
• если alias расширится в строку длиннее 256, то киска грохнется

11.0(11) и ранее:

• service compress-config может подвешивать
• использование DNS для поиска alias грохает киску
• не надо говорить ip address на подключенный к PPP интерфейс
• PAP не работает с TACACS+
• на Cisco 2511 иногда сразу 4 порта меняют DSR при одном событии
• encapsulation ppp (или async mode dedicated) приводит к паузе неопределенной длины, если выдана для группы
• при тяжелой загрузке Cisco 2509-2511 могут зависнуть или bus error
• иногда после copy tftp running отваливается аппаратная синхронизация
• если использовать autoselect в комбинации с TACACS+, то таблица маршрутов будет содержать таблицу маршрутов для IP-адреса по умолчанию, даже если TACACS+ поменял этот адрес
• расширенный ACL с использованием конечных UDP адресов, работает неверно

версия 11.1(24)

Новое в версии 11.1 (начиная с 11.1(6) только исправляются ошибки)(отличия в X.25, DECnet, AppleTalk, VINES , IBM , ATM не описаны):

• NHRP для IPX
• быстрая установка для статических маршрутов (для backup);
• быстро-переключаемое GRE (generic routing encapsulation);
• RIPv2 (подмаски, аутентикация, multicast, внешние метки маршрута);
• передача информации из EIGRP в NLSP (IPX);
• input access list для IPX;
• per host route balancing  для IPX;
• NLSP aggregation (IPX);
• инкапсуляция IPX в FDDI;
• сжатие заголовков для IPX (30 байт);
• маршрутизация VLAN;
• асинхронный ISDN (V.120);
• NetBEUI через PPP (NBFCP);
• автоконфигурация модемов;
• NASI - dial-out сервис для IPX-сетей;
• ident (RFC 1413);
• RADIUS;
• Locks and keys - с 11.1(1) - динамическая генерация ACL в зависимости от имени пользователя.

Наборы возможностей (feature set)

Я рассматриваю только младшие серии (Cisco 2500, AS5100), про ATM ни слова, про ИБМ протоколы тоже)(потребности в памяти даны для Cisco 2500 - исполнение из флэша)(RMON alarm and events реализованы даже для наборов, в которых нет RMON):

1. igs-i-l(4 FLASH, 4 DRAM): IP
2. igs-im-l(4 FLASH, 4 DRAM): IP/RMON
3. igs-ir-l(8/4): IP/IBM Base
4. igs-imr-l(8/4): IP/IBM/RMON
5. igs-in-l(8/4): IP/IPX
6. igs-imn-l(8/4): IP/IPX/RMON
7. igs-inr-l(8/4): IP/IPX/IBM Base
8. igs-imnr-l(8/4): IP/IPX/IBM/RMON
9. igs-ainr-l(8/8): IP/IPX/IBM/APPN
10. igs-d-l(8/4): Desktop (с этого уровня начинается AppleTalk, DECnet IV)
11. igs-dr-l(8/4): Desktop/IBM Base
12. igs-j-l(8/6): Enterprise (с этого уровня начинается ES-IS и IS-IS, DECnet V, Apoolo domain, VINES, ISO, XNS керберос для login, трансляция протоколов, Xremote)
13. igs-jm-l(8/6): Enterprise/RMON
14. igs-aj-l(16/8): Enterprise/APPN
15. CFRAD(4/4) (Cisco Frame Relay Access Device)
16. igs-p-l(4/4): Remote Access Server (нет всяких IBMовских и прочих нестандарных вещей, зато есть все, что необходимо для нормальной работы, нет RMONа,ISDN, OSPF, EGP, моста, зато есть трансляция протоколов, TN3270, Xremote, PAD, LAT, NETBEUI через PPP, автоконфигурация модемов)
17. igs-g-l(4/2): ISDN
18. LAN FRAD(4/4)
19. OSPF LAN FRAD(4/4)

Ошибки версии 11.1 (только те, которые мне интересны)

11.1(24)

• If you try to customize the username prompt by issuing the command aaa authentication username-prompt "" to make it either null or blank ("" or " ") the command is accepted, but the command does not work and does not appear in the display of the show running-config command. [CSCdk22051]
• The router may restart with the following error:System was restarted by bus error at PC 0x3122B6A, address 0xD0D0D3D
• ? если разрешен учет соединения, но не разрешен учет exec, то при 2-ом соединении пользователя Cisco перегружается.
• ? не подерживается interrupt-level IP fragmentation
• ? DHCP proxy-client не обрабатывает DHCP пакеты от сервера с DHCP-опцией равной нулю
• ? RADIUS CLASS аттрибут разрушается, что не позволяет использовать MERIT сервер
• ? aaa accounting system start-stop tacacs+ не всегда передает сообщение "system restarted" (не успевает устояться таблица маршрутизации) - используйте: ip host-routing
• ? show accounting может вызвать перезагрузку
• ? проблема при отсутсвии связи с RADIUS сервером (не предлагает ввести enable password)
• ? проблемы с шифровкой длинных (больше 11 символов) паролей администратора - может обрезаться до 11 символов
• ? snmp-server trap-source работает неверно
• ? pool manager ихогда пожирает память I/O
• ? нельзя использовать ping с пакетом 2048 байт
• ? отключение 10Base2 кабеля не опускает интерфейс
• ? тунель не работает, если bandwidth больше 2048
• ? icmp redirect не посылается, если входной пакет типа ECHO-REPLY
• ? BGP с расширенным ACL и default-originate route-map грохается
• ? при некоторых усливиях статический маршрут со следующим узлом, достижимым через статический маршрут, не заносится в таблицу
• ? не работает trace на собственный ip-адрес
• ? надежный PPP-режим не работает на асинхронных линиях

11.1(23)

11.1(22)

• Currently all packets denied by an access list are sent to the process level to generate an ICMP administratively prohibited message. Some of these packets are dropped because Cisco routers limit ICMP generation to two packets per second. This behavior results in excessive CPU load. [CSCdj35407]

1.11(21)

• Issuing a show ip eigrp event, a show ipx eigrp event, a show appletalk eigrp event, or enabling Enhanced IGRP event logging for IP, IPX, or AppleTalk may cause the following platforms to reload with a bus error or segv: 1000, 2500, 2600, 3800, 4000, 5200, and 7000 (RP/SP). Other platforms, including the Cisco 3600, 4500, 4700, 5300, 7000 (RSP), 7200, 7500, 8500, and RSM may display the record of a spurious memory access.

11.1(20)

• The accounting code should be executed only when aaa new-model is enabled. [CSCdk17943]
• This caveat applies to HDLC, Frame Relay, and LAPB stac-compressed links. Some packets sized near a link's MTU are erroneously rejected. This caveat manifests slightly differently on all of these encapsulations. [CSCdk12078]
• TCP uncompress code may discard a bad frame without releasing the packet memory associated with it. This causes a memory leak and an interface may become wedged if the number of bad frames received reaches the input queue limit. [CSCdj77906]

11.1(19)

11.1(18)

• Some PPP implementations erroneously send PPP packets that exceed the negotiated Maximum Receive Unit. If these packets are also larger than 1500 bytes (which all RFC 1661 compliant implementations are capable of receiving), Cisco IOS software with the CSCdi92482 patch applied will silently discard them. This is the correct behavior per the RFC. It may be possible to work around the problem by using the mtu command to select a smaller MTU/MRU value for the interface, but this will only work if the remote peer agrees to negotiate the smaller value. Another workaround is to downgrade to a version of software that does not contain the CSCdi92482 patch. To verify the problem, issue the debug ppp error command and search for a debug message of the following form: Se6/0/0:23 PPP: Packet too large, size = 1509, maxsize = 4, protocol = 0x003D [CSCdj82427]

11.1(17)

11.1(16)

• The program land.c, which can be used to launch denial of service attacks against various TCP implementations, sends a TCP SYN packet (a connection initiation), giving the target host's address as both source and destination, and using the same port on the target host as both source and destination. For in-depth information including workarounds and information on other Cisco product vulnerabilities, refer to the following URL: http://www.cisco.com/warp/customer/770/land-pub.shtml [CSCdj61324]
• When the commands ip tcp header-compression and ppp multilink are configured together on the same interface, it can cause the router to crash. The workaround is to remove the ip tcp header-compression or ppp multilink command. [CSCdj53093]

11.1(15)

• A timing conflict between the HTTP server and TACACS+ code can cause the HTTP process to hang when configured to use TACACS+ for authentication. Since the HTTP server uses a tty to handle I/O for the request, these hung processes can tie up all available ttys. [CSCdi84657]
• A router may restart with a bus error at address 0xD0D0D5D in module tcpdriver_del. [CSCdj26703]
• Sometimes a TCP control block structure is mistakenly freed during timeout processing, and the next reference to the structure will cause the router to crash. [CSCdj55793]

11.1(14)

• On Single Flash Bank 2500 devices running from the image on Flash (RFF), copying to flash using CISCO-FLASH-MIB does not work. The workaround is to use the copy tftp flash command line interface command. This CLI command invokes the FLH interface and the file is copied successfully to the device. [CSCdj27438]
• RMON alarms will not work properly on a number of MIBs that use internal MIB caching to speed up MIB object value retrieval. The only possible workaround is to set up an SNMP get poll on these objects to force an update to the MIB cache, with a poll period within the alarmInterval time. The following MIBs have this problem: ...
• Sending a break character to the asynchronous interface while there is data coming down and through the asynchronous interface will cause the asynchronous interface to hang. This problem effects all platforms with asynchronous interfaces. There is no workaround for this problem except having a fix in Cirrus microcode version A5. [CSCdj02282]
• PPP compression and custom queuing are incompatible features and may cause the router to crash. To work around this problem, turn off all fancy queuing. [CSCdj25503]
• A router crashes after receiving multicast packets with the illegal source address 0.0.0.0. The workaround is to configure the access list to filter out packets with a source IP address of 0.0.0.0. [CSCdj32995]
• PPP IPCP negotiation will be changed after Cisco IOS Release 11.0(11). In Cisco IOS Release 11.0(11) the software accepts the remote peer's "Her" proposed address regardless, and the "Her" address is subsequently added to the IP routing table as a host route. With Cisco IOS Releases later than 11.0(11) the software will check the "Her" address against the corresponding dialer map and if the address is different than the IP address detailed within the dialer map, a NAK will be sent and the dialer map IP address will be added as a host route in the IP routing table. It is possible to revert to the previous operation using the hidden interface command ppp ipcp accept-address. When enabled the peer IP address will be accepted but is still subject to AAA verification, it will have precedence over any local address pool however. [CSCdj04128]

11.1(13)

• Turning on IP routing after assigning IP addresses to the interfaces does not take effect. The workaround is to turn on IP routing and then assign the IP addresses to the interfaces. [CSCdj26052]
• IP cache is not being invalidated for destinations which use the default routes even after the next hop is down. A workaround is to enter the clear ip cache command. [CSCdj26446]
• A router configured for both inbound and outbound asynchronous dialing using legacy DDR fails to install dynamic dialer maps for the inbound asynchronous PPP peers when the remote peer is authenticated in character mode, then launched into packet mode from the router's EXEC mode. A workaround for this is to use ppp authentication and autoselect ppp on the lines. [CSCdj14047]
• A Cisco access server may fail to start PPP mode for dialup connections when the line is configured with the autoselect ppp command. This results in the dialup connection getting dropped. To work around this problem, use async mode dedicated if no login is required. If a login is required, configure no flush-at-activation, change the q2 register in the modem database, and configure modem autoconfigure type. [CSCdj25443]
• Some PC based PPP clients are not correctly autoselected into PPP mode by the Cisco Access Servers. This results in numerous drop calls. This problem is usually noticed when an automated dialer is used. The workaround is to configure the asynchronous interfaces using the async mode dedicated command. Sometimes, adding a second or two delay in the automated dialer's script also fixes the problem. [CSCdj26647]

11.1(12)

• восьмеричные коды в chat-script не работают
• TCP header compression does not work over Point-to-Point Protocol (PPP), ISDN, and asynchronous dialer interfaces. To work around this problem, turn off ip tcp header-compression. Note that non-dialer asynchronous interfaces used for dial-in PPP access are not affected. [CSCdi19199]

11.1(11)

• exec-timeout вырубает даже активный telnet (либо вернитесь к 11.1(10), либо поставьте 0)
• BGP и OSPF работают нестабильно
• ip igmp query-interval 0 подвешивает систему
• низкоскоростные sync/async порты неспособны обрабатывать пакеты размером больше 1500 (поставьте на обоих концах MTU меньше 1498)

11.1(10)

• reset script модема не выполняется, если PPP-сессия завершилась нормально
• tacacs+ вызывает пожирание памяти (начиная с версиии 11.0(10)
• иногда бывает Bus Error
• иногда telnet замирает на 20 секунд, нажмите любую клавишу
• show ip bgp iconsistence-as иногда перезагружает киску
• расширенный ACL иногда пропускает фрагменты, если включена журнализация
• по no shutdown для group async киска иногда перезагружается
• если есть PPP, то иногда происходит Bus error

более старые модификации я не рассматриваю, но количество их впечатляет

версия 11.2(17)(я пользовался 11.2(16))

Новое в версии 11.2 (отличия в X.25, DECnet, AppleTalk, VINES , IBM , ATM не описаны):

• маршрутизация по запросу (ODR) - меньше нагрузка, на "глухом" маршрутизаторе не надо конфигурировать протокол маршрутизации;
• OSPF on demand (RFC 1793) - позволяет использовать OSPF через ISDN, X.25 SVC и модемные линии;
• OSPF Not-So-Stubby-Areas (NSSA) - позволяет "тупиковым" маршрутизаторам импортировать внешнюю таблицу маршрутов частично (например, только default);
• BGP4 soft configuration - позволяет конфигурировать BGP4 без сброса кеша;
• BGP4 multipath support - балансировка загрузки между многими exterior BGP;
• BGP4 prefix filtering with inbound route maps - позволяет задать уровень агрегирования внешних таблиц маршрутизации;
• Network Address Translation (NAT) - позволяет подсоединять хосты и подсети с локальными IP адресами к Internet;
• поименованные IP ACL;
• integrated routing and bridging (IRB) - позволяет продолжить VLAN через интерфейсы (IP, IPX, AppleTalk, только прозрачные мосты, не для X.25 и ISDN, не для Cisco 7000, не может работать параллельно с concurrent routing and bridging);
• показать SAP по имени (IPX);
• журнализация нарушений IPX ACL;
• имена протоколов и портов в IPX ACL;
• конфигурация с помощью HTTP сервера (11.1(5));
• ClickStart - быстрая конфигурация Cisco 1000;
• RSVP (протокол резервирования ресурсов) - realtime multimedia приложения;
• RED (Random Early Detection) - помогает избегать перегрузок сети (сообщает приложениям TCP, чтобы работали помедленнее);
• generic traffic shaping - помогает избежать перегрузок сети (на уровне 2), приостанавливая ответные пакеты;
• router authetication;
• шифровка на сетевом уровне;
• оптимизация EIGRP;
• Frame Relay SVC;
• traffic shaping over Frame Relay;
• NetFlow switching (только Cisco 7000 и 7500 с Route Switche Processor) - ускоряет применение ACL и сбор статистики;
• MMP (multichassis multilink PPP) - распараллеливание PPP между каналами с разных кисок (внутри одной было и раньше);
• TACACS+ single connection (одно TCP соединение на все);
• SENDAUTH в TACACS+ (увеличение безопасности);
• VPDN - Virtual Private DialUp Network - по имени PPP организуется туннель до домашней сети пользователя, независимо от физ. природы соединения и безопасный;
• Dialer profiles;
• CPP - собственный протокол Combinet - сжатие и распределение нагрузки по нескольким ISDN;
• полумост/полумаршрутизатор для CPP и PPP - позволяет подсоединять дешевые мосты к ядру сети.

Наборы возможностей (feature set)

Для версии 11.2 параллельно ведутся 3 ветки: 11.2 (наиболее стабильная, только исправления ошибок), 11.2 P (исправление ошибок и новое оборудование), 11.2 F (исправление ошибок, новое оборудование и межплатформенная совместимость).

Требования к памяти (для версии 11.2 Cisco 2500):

• Enterprise и выше: 8MB flash, 6MB DRAM
• все, что ниже: 8MB flash, 4MB DRAM. Я рассматриваю только младшие серии (Cisco 1000, 1600, 2500, 4000, AS5100, AS5200), про ATM ни слова, про ИБМ протоколы тоже.

Имена файлов см. в http://www.cisco.com/univercd/data/doc/software/11_2/relnotes/rn112.htm

имена файлов см. в http://www.cisco.com/warp/public/732/112/539_pb.html (мне интересно: i[s], d[s] и j[s], если нужна шифровка, то на конце 40 или 56)

Image Name Mapping from Release 11.1 to Release 11.2

	Image Name in Release 11.1 or Earlier	Image Name in Release 11.2
	Cisco 1005
	c1005-bnxy-mz	c1005-bny-mz
	c1005-bxy-mz	c1005-by-mz
	c1005-nxy-mz	c1005-ny-mz
	c1005-xy-mz	c1005-y-mz
	c1005-xy2-mz	c1005-y2-mz
	Cisco 2500 Series
IP/IPX/IBM/APPN	igs-ainr-l	c2500-ainr-l
Enterprise/APPN	igs-aj-l	c2500-ajs-l
	igs-c-l	c2500-c-l
Desktop	igs-d-l	c2500-d-l
Desktop/IBM Base	igs-dr-l	c2500-ds-l
	igs-f-l	c2500-f-l
	igs-fin-l	c2500-fin-l
ISDN	igs-g-l	c2500-g-l
IP	igs-i-l	c2500-i-l
IP/RMON	igs-im-l	c2500-is-l
IP/IPX/RMON	igs-imn-l	c2500-ds-l
IP/IPX/IBM/RMON	igs-imnr-l	c2500-ds-l
IP/IBM/RMON	igs-imr-l	c2500-is-l
IP/IPX	igs-in-l	c2500-d-l
IP/IBM Base	igs-ir-l	c2500-is-l
IP/IPX/IBM base	igs-inr-l	c2500-ds-l
Enterprise/RMON	igs-jm-l	c2500-js-l
Enterprise	igs-j-l	c2500-j-l
	Cisco AS5200
	as5200-iz-l	c5200-is-l
	as5200-dz-l	c5200-ds-l
	as5200-jmz-l	c5200-js-l
	Cisco 4000 Series
	xx-ainr-mz	c4000-ainr-mz
	xx-aj-mz	c4000-ajs-mz
	xx-d-mz	c4000-d-mz
	xx-dr-mz	c4000-ds-mz
	xx-i-mz	c4000-is-mz
	xx-in-mz	c4000-d-mz
	xx-inr-mz	c4000-ds-mz
	xx-ir-mz	c4000-is-mz
	xx-j-mz	c4000-j-mz
	Cisco 4500 Series
	c4500-aj-mz	c4500-ajs-mz
	c4500-dr-mz	c4500-ds-mz
	c4500-ir-mz	c4500-is-mz
	c4500-in-mz	c4500-d-mz
	c4500-inr-mz	c4500-ds-mz
	Cisco 7000 Series
	gs7-aj-mz	c7000-aj-mz
	gs7-ajv-mz	c7000-ajv-mz
	gs7-jv-mz	c7000-jv-mz
	gs7-j-mz	c7000-j-mz
	Cisco 7200 Series
	c7200-aj-mz	c7200-ajs-mz
	c7200-dr-mz	c7200-ds-mz
	c7200-j-mz	c7200-js-mz
	Cisco 7500 Series and Cisco 7000 with RSP7000
	rsp-aj-mz	rsp-ajsv-mz
	rsp-j-mz	rsp-jsv-mz
	rsp-ajv-mz	rsp-ajsv-mz
	rsp-jv-mz	rsp-jsv-mz

Каждый набор может иметь 4 модификации: базовая, расширенная (PLUS), шифровка 40 бит, шифровка 56 бит (не на каждой платформе возможны определенные пакеты и их модификации):

1. c2500-i- IP: параллельная маршрутизация и мост, GRE, совмещенная маршрутизация и мост (начиная с 11.2), IP, LAN extention host, multiring, прозрачные и переводные мосты, VLAN (ISL и IEEE 802.10 - только Cisco 4500 и с версии 11.2 и модификация Plus), Combinet Packet Protocol (CPP - с версии 11.2), Dialer Profiles (с версии 11.2), Frame Relay, Frame Relay Traffic shaping (с 11.2), полумост/полумаршрутизатор (с 11.2), HDLC, PPP, SMDS, switched 56, X.25, полоса пропускания по запросу, настраиваемые приоритеты очередей, dial backup, dial-on-demand, сжатие заголовка, соединения и payroll(?), snapshot routing, weighted fair queuing, BGP, BGP4 (с 11.2), EGP, IGRP, enhanced IGRP, оптимизация EIGRP (с 11.2), поименнованные IP ACL (с 11.2), трансляция сетевых адресов (с 11.2 и Plus), NHRP, маршрутизация по запросу (с 11.2), OSPF, OSPF Not-So-Stubby-Areas (с 11.2), OSPF on demand circuit (RFC 1793 - с 11.2), PIM (protocol independent multicast), policy based routing, RIP, RIP2 (с 11.1), generic traffic shaping (с 11.2), Random Early Detection (RED - с 11.2), resource reservation protocol (RSVP - с 11.2), AutoInstall, автоматическая конфигурация модемов (с 11.1), HTTP-сервер (с 11.2), RMON events and alarms (с 11.1), полный RMON (только 2500, с 11.2 и Plus), SNMP, telnet, списки доступа, расширенные списки доступа, Lock and Key (с 11.2), MAC security for hubs (с 11.2), MD5 routing authentication, шифровка на сетевом уровне (только модификация encrypt), RADIUS (с 11.1), TACACS+, asynchronous master interfaces, PPP, SLIP, CPPP, CSLIP, DHCP, IP pooling, rlogin, telnet, X.25 PAD
2. c2500- IP/IPX(этот набор отсутствует для 11.2): добавлено IPX, IPXWAN 2.0, ISDN, IPX RIP, NLSP, IPXCP
3. c2500- Desktop(IP/IPX/AppleTalk/DEC): добавлено AppleTalk 1 и 2, DECnet IV, Virtual Private Dial-UP network (с 11.2), AURP, RTMP, SMRP, ARAP 1.0/2.0, ATCP, MacIP
4. c2500- Enterpise: добавлено Apollo Domain, Banyan Vines, DECnet V, OSI, XNS, Frame Relay SVC (с 11.2), multichassis multilink PPP (MPP - с 11.2), ES-IS, IS-IS, SRTP, Kerberos login (с 11.1), поддержка клиентов Kerberos V (с 11.2), трансляция протоколов (LAT, telnet, PPP, rlogin, X.25, TN3270), IPX и ARAP на виртуальных асинхронных интерфейсах, NASI (с 11.1), NetBEUI поверх PPP (с 11.1), LAT, TN3270, Xremote
5. c2500- Enterprise and APPN
6. c2500- IP/IPX/IBM and APPN
7. c2500- Desktop/IBM and APPN

Для Cisco 1000 и 1600 (только 11.1 и 11.2):

1. IP
2. IP/IPX
3. IP/Apple Talk
4. IP/IPX/Apple Talk

Для Cisco 1005:

1. IP/OSPF/PIM
2. IP/Async
3. IP/IPX/Async

Для Cisco 2500 и AS5100 дополнительно:

1. c2500- CFRAD
2. c2500- LAN FRAD
3. c2500- ISDN
4. c2500-p- Remote Access Server (2509-2512 и AS5100): AppleTalk 1 и 2 (с 11.2), DECnet IV (только 11.0), GRE, совмещенная маршрутизация и мост (начиная с 11.2), IP, multiring, IPX, source-route bridging (с 11.2), прозрачный мост (с 11.2), прозрачные и переводные мосты, CPP (с 11.2), dialer profiles (с 11.2), Frame Relay, Frame Relay Traffic shaping (с 11.2), полумост/полумаршрутизатор (с 11.2), HDLC, IPXWAN 2.0, multichassis multilink PPP (MPP - с 11.2), PPP, switched 56, Virtual Private Dial-UP network (с 11.2), X.25, полоса пропускания по запросу, настраиваемые приоритеты очередей, dial backup, dial-on-demand, сжатие заголовка, соединения и payroll(?), snapshot routing, weighted fair queuing, BGP (только 11.0), BGP4 нет совсем, EGP (только 11.0), EIGRP, оптимизация EIGRP (с 11.2), IGRP, NHRP (только 11.0), маршрутизация по запросу (с 11.2), OSPF (только 11.0), PIM, policy based routing, RIP, RIP2 (с 11.1), AURP, IPX RIP, RTMP, generic traffic shaping (с 11.2), utoInstall, автоматическая конфигурация модемов (с 11.1), HTTP-сервер (с 11.2), RMON events and alarms (с 11.1), SNMP, telnet, писки доступа, расширенные списки доступа, Lock and Key (с 11.1), MD5 routing authentication, RADIUS (с 11.1), TACACS+, трансляция протоколов (LAT, telnet, PPP, rlogin, X.25, TN3270), ARAP 1.0/2.0, asynchronous master interfaces, PPP, SLIP, CPPP, CSLIP, ATCP, DHCP, IP pooling, IPX и ARAP на виртуальных асинхронных интерфейсах, IPXCP, MacIP, NASI (с 11.1), NetBEUI поверх PPP (с 11.1), login, telnet, X.25 PAD, LAT, TN3270, Xremote

Ошибки в версии 11.2 (только те, которые меня задевают).

11.2(17) не исправленные

• команда who не работает
• When traffic shaping is configured on an interface, the router may crash.
• Cumulative Ethernet drops/throttles seem to occur due to private particle buffers trying to get packets from the public pool, resulting in normal buffer shortage. This usually happens after about two days.
• OSPF uses a 1500-byte MTU size that cannot be changed on media that supports larger MTU sizes.
• Cisco IOS NAT socket translation only works for connections initiated from outside to inside. Without sockets, translation works on the IP address, but with socket translation it doesn't.
• With sync and certain topologies, some BGP routes may not get advertised after a peer reset. The workaround is to issue the commands no sync, or clear ip bgp
• The router reboots with a bus error after issuing the show ip eigrp topo 0 and clear ip route * commands. No workaround is available.
• The PPP options configured for a dialer profile (authentication, multilink, compression, half-bridging, etc.) are not applied to the physical interface for outbound dialing. The workaround is to enable the PPP options on the physical interface.
• The router may crash when issuing the show dialer map command while also dropping connections.
• When a PPP multilink connection is congested because the fragment sizes are different, one link in the bundle can get ahead of the others and cause the peer to have to buffer the packets waiting for all the fragments to arrive.

11.2(16)-11.2(8)

• When configuring traffic-shape groups under interfaces, the second traffic-shape group will not show in the running-configuration or startup-configuration commands if options are not added to the command as the first statement.
• A router configured with a policy route map on a BRI interface may not forward packets to the next hop as specified in the set ip next-hop command. For policy routing to fail, the command ip policy route-map name must be configured on a BRI interface, and the destination must exist in the ip cache table of the policy router. A workaround is to issue the clear ip cache command, or remove fast switching by issuing the no ip route-cache command.
• NetBIOS over TCP/IP port 139 is not being translated.
• Issuing the debug ip tcp packet command may cause the router to crash following the issuing of either the show running-config or write terminal commands.
• TCP applications using a TCP driver API, such as DLSw or STUN, will use a TCP maximum segment size (MSS) of 1450, if MSS exchanged during the connection is smaller than 1450. To override this behavior and use the MSS exchanged during connection time, the hidden command ip tcp tcpdriver default-mss can be issued.
• If the total size of a Frame Relay compressed packet grows in the output queue, a buffer in an internal data structure can be misqueued and cause the router to fail.
• When the router is running low on memory and a write mem or config net command is issued, then there is a chance the the NVRAM may be corrupted and the router reboot.
• A router running Cisco IOS Release 11.2(14) and later configured for OSPF may not install an external route into the routing table even when the forwarding address in the external LSA is reachable.
• A router configured with ip igmp static-group may remove the command when an IGMP V1 client answers IGMP queries and subsequently quits answering IGMP queries.
• Issuing a show ip eigrp event, a show ipx eigrp event, a show appletalk eigrp event, or enabling Enhanced IGRP event logging for IP, IPX, or AppleTalk may cause the following platforms to reload with a bus error or segv: 1000, 2500, 2600, 3800, 4000, 5200, and 7000 (RP/SP)
• When a the serial port of a Cisco router is connected via an X.24 cable (a modified X.21 cable with the control lines strapped so that layer 1 stays up at all times), PPP fails to restart when the router or its peer is reloaded. The workaround is to use the shutdown command, followed by the no shutdown command on the serial interface.
• Trying to pass PPP packet that is larger than 1524 bytes through a serial interface that has its MTU set larger than 1524, results in a "LINK-3-TOOBIG" error message. A workaround is to configure the interface to have an MTU of less than 1524 bytes (1500 is the preferred size).
• In certain cases, the number of packets shown in the IP flow cache packet size distribution does not match the number shown in the cache statistics.
• Some packets that are near a link's MTU size could be erroneously rejected. This caveat applies to HDLC, Frame Relay, and LAPB stac-compressed links, and has slightly different symptoms on each of these encapsulations.
• Older Windows PPP implementations such as Windows 3.1 with the Shiva stack (including Internet Explorer and Netscape Navigator Personal Edition) may fail to negotiate LCP successfully on IOS systems running a release of IOS with CSCdj63179 applied. The symptom is that the Windows client gives up trying to establish the PPP session after 6 LCP Config Requests have been sent by it. Windows then disconnects the call. A workaround to this problem that works in most circumstances is to disable the carrier delay imposed on the interface by issuing the (hidden) interface level command carrier-delay 0
• Address information is missing from AAA network stop records. For TACACS+, this attribute is the "addr" attribute. For Radius, the attribute is Framed-IP-Address.
• Enhanced IGRP redistribution between different access servers is broken when the interface flaps. This is a regression from the fix for CSCdj62406
• Some incoming PPP connections fail. A reliable workaround is to turn on debug ppp negotiation
• Under certain conditions, when using CHAP authentication, the router may reload unexpectedly.
• ARP replies are not sent over a PPP multilink interface. As a workaround, you can configure a static ARP on the remote device or disable PPP multilink.
• When the commands ip tcp header-compression and ppp multilink are configured together on the same interface, they can cause the router to crash.
• Sometimes a memory leak that consumes I/O memory can be triggered in the pool manager.
• A router crashed with a bus error while running the output for show dialer map.
• Cisco IOS Releases 11.2(1) through 11.2(10) are technically not in compliance with RFC 1990. The RFC requires that the first multilink fragment that is transmitted after adding a second link to a bundle which previously only had one link must be transmitted over the first link in the bundle. Instead, the first fragment is being transmitted over the newly added link. This can result in the peer receiving packets out of sequence.
• On Single Flash Bank 2500 devices, when the device is running from the image on Flash (RFF), the SNMP operation of copy to Flash using CISCO-FLASH-MIB does not work. The work around is to use the command line interface command copy tftp flash.
• RMON alarms will not work properly on a number of MIBs that use internal MIB caching to speed up MIB object value retrieval. The only possible workaround is to set up an SNMP get poll on these objects to force an update to the MIB cache, with a poll period within the alarmInterval time.
• A memory leak exists in the Flash file system. Using SNMP to poll the ciscoFlashMIB objects, or using the show flash command line interface (CLI) commands can result in non-trivial amounts of memory being allocated and never freed. Repeating these polls or CLI commands will eventually result in the system using up all available memory.
• Hardware platforms that use Cirrus Logic serial line controllers may experience the following behavior: If the system tries to discard output for a line while there is output data in the buffer, the line may become unresponsive to input. This happens most frequently when the user attempts to abort output from a network connection. For example, sending CTL-C on a LAT connection or sending a break character during a PAD connection may cause this symptom.
• PPP compression and custom queuing are incompatible features and may cause the router to crash.
• A router crashes after receiving multicast packets with the illegal source address 0.0.0.0. The workaround is to configure the access list to filter out packets with a source IP address of 0.0.0.0.
• When a PPP connection is disconnected due to a keepalive timeout (for example when the other end of the link is reset), the PPP internal state will be left in a confused state and unable to negotiate with the peer. This will manifest itself as an interface where LCP is Open and IPCP and other NCPs are Closed
• An interface may become wedged with input queue 76/75. This is caused by both syslog and SNMP traps. The workaround is to disable both syslog and SNMP traps

11.2(7):

• иногда перезагрузка по show accounting
• в chat-script неверно запоминаются cntrl-символы
• если ip identd и установлен tacacs+, то перезагрузка, если:
  1. используется внешний DNS
  2. TACACS+ сервер упал
  3. пользователь зашел через enable
  4. выдал telnet
• при форматировании флэша типов A6, A7, AA он не распознается (Intel 28F004S5/08S5/16S5)
• при удалении ip default-network не удаляется запись о gateway
• Cisco 2511 через неделю работы может сказать, что нет памяти

11.2(6):

• не стоит делать copy tftp flash между двумя кисками
• если dialer dtr, то киска не поднимает сигнал DTR
• асинхронный контроллер иногда зависает
• на низкоскоростных портах обязательно ставить MTU меньше 1498
• неправильный LCP NAK пакет грохает киску

11.2(5):

• telnet может подвисать на 20 секунд
• расширенный ACL иногда пропускает фрагменты, если задана журнализация

11.2(4) и ниже:

• при включении TACACS+ понемногу исчезает память (начиная с 11.0(10)
• нельзя очистить telnet-сессию с непустым входным буфером
• иногда группа из 4 последовательных портов зависает
• пожирание памяти через 29 часов работы
• быстро завершившиеся задачи не попадают в журнал учета tacacs+
• обратные соединения не-TCP могут грохнуть киску
• пакеты к TACAS+ могут быть задержаны на 9 секунд, если DNS не сконфигурирован на маршрутизаторе (либо сделайте no ip domain-lookup, либо добавьте IP адрес TACACS+ сервера к локальной таблице хостов)

версия 11.3(8) - не пробовал

Версия 11.3 имеет странный статус коротко-живущей (поддерживается только 1 год). Стало быть она никогда не достигнет статуса GD (стабильная версия). Набор возможностей зафиксирован прямо с 11.3(1). Имеется экспериментальная ветвь 11.3(7) T (всегда ED), в которую вносятся новые функции и поддержка нового оборудования (для любителей острых ощущений). Последнее добавление новых функций было в 11.3(4)T: контекстнозависимое управление доступом, PPP сжатие от MS, MS CHAP, добавлены имена для авторизации и учета (AAA), более гибкий backup с помощью Dialer Watch, MS callback, xDSL, журнализация стандартных списков доступа, собственный текст сообщения при запросе пароля и отказе в доступе (AAA), выдача списка DNS/WINS серверов для MS PPP. 11.3(8) AA - новые функции для серверов доступа - AS5xxx (единый подход ко всем хранимым данным в виде файловой системы, ограничение выдачи команд отладки определенным интерфейсом, именем пользователя и др. условиями). 11.3(8)NA is a specialized image designed to support Multimedia Conference Manager features (Gatekeeper and Proxy conforming to H.323), эту версию нельзя использовать как обычный маршрутизатор или сервер доступа. 11.3 XA- новая аппаратура (голосовой Cisco 2600, кабельный модем uBR7200).

Новое в версии 11.3 (отличия в X.25, DECnet, AppleTalk, VINES , IBM , ATM не описаны):

• Easy IP phase I (улучшение NAT)
• EIGRP аутентикация
• TCP Selective Acknowledgment (не надо пересылать весь остаток окна)
• TCP Timestamp
• IPX Named Access List
• IPX SAP-after-RIP
• Cisco IOS Internationalization (храненине адаптированных HTML-страниц во флеше, использование multibyte char)
• Entity MIB, Phase 1
• SNMPv2C (RFC1901-1907)
• SNMP Inform и SNMP Manager (Trap с подтверждением)
• Virtual Profiles (каждому входящему пользователю обеспечивается уникальный интерфейс с параметрами, определяемыми по его имени)
• multicast
  • IP Multicast Load Splitting across Equal-Cost Paths
  • IP Multicast over ATM Point-to-Multipoint Virtual Circuits
  • IP Multicast over Token Ring LANs
  • Stub IP Multicast Routing
• сжатие в Real-time Transport Protocol
• двойная аутентификация PPP
• шифрованный telnet (Kerberos) - нужна прошивка с 56-битным шифрованием
• ныне HTTP-интерфейс полностью отражает возможности интерфейса командной строки (включая права пользователя)
• Reflexive Access Lists (позволяет фильтровать на уровне более высоких протоколов)
• TCP Intercept (защита от атаки типа TCP SYN-flood)(только в наборе Enterprise)
• Vendor-Proprietary RADIUS Attributes
• Bandwidth Allocation Control Protocol - BACP (RFC 2125) - управление multilink PPP (вот где телефонные номера передаются!)
• Enhanced LMI для FR, который обеспечивает согласование параметров (CIR, Bc, Be) между FR switch и маршрутизатором
• Multilink PPP Interleaving and Fair-Queuing Support
• Telnet Extensions for Dialout - обеспечивает прямой доступ к модему с помощью Cisco DialOut Utility (позволяет посылать факсы и т.д.)

Наборы возможностей (feature set).

Как и для 11.2 каждый набор имеет модификации:

• просто (i)
• Plus (is)
• Plus40 (is40)
• Plus56 (ограничение на экспорт из США, is56)

Наборы для 2500

• IP (8 MB Flash/4MB DRAM)
• IP/IPX/AT/DEC (8MB/6MB)
• ISDN (8MB/4MB)
• Enterprise Plus (16MB/8MB)
• Remote Access Server (8MB/4MB)

Ошибки в версии 11.3 (только те, которые меня задевают).

11.3(8)

• проблема с одновременным доступом к NVRAM с двух линий
• autoselect для обратного telnet завешивает линию
• неверные учетные записи для Telnet Extension for Dialout
• множество проблем с traffic shaping
• удаление конфигурации NAT не останавливает трансляции
• команда show dialer map грохает маршрутизатор, если в этот момент сбрасывалось соединение
• если при использовании всяких хитрых алгоритмов управления очередями установлено такое MTU, что пакеты фрагментируются, то получившиеся фрагменты попадают в неправильные очереди
• отмена dialer string во время ее использования вызывает перезагрузку киски

11.3(7)

• сломана конфигурация линий
• нельзя использовать aaa authorization exec tacacs
• при upgrade с 11.2 до 11.3 возникают проблемы, если в конфигурации присутствовали команды aaa authentication (рекомендуется предварительно их удалить)
• Static routes for 0.0.0.0 do not redistribute into other routing protocols.

Версия 12.0(11) - 08 июня 2000

Соответственно серии 12.0 (основная), 12.0(3)T (новые функции: Firewall набор - контекстно-зависимый контроль доступа, блокирование Java, обнаружение и предотвращение DoS-атак, предупреждение и журнал в реальном времени; фильтрация и поиск в команде show; DHCP сервер; L2 tunneling; mobile IP; ACL в зависимости от времени суток; triple DES; R1/R2 сигналы для AS5800; tagswitch; netflow; SNMPv3), 12.0 XA (новое оборудование Cisco 1720, слит), 12.0 XB (cisco 800, слит), 12.0 XC (кабельные модемы и 2600, слит), 12.0 XD (VoIP, слит), 12.0 XE (Cisco 7200, замена на ходу, Gigabit, E3 и др., слит), 12.0S (ISP модуль), 12.0W (Catalist 8500), 12.0DB (Cisco 6400).

Новое в версии 12.0

Слиты все возможности из версий 11.1(17)CA, 11.1(17)CC, 11.1(17)CT, 11.2, 11.2P, 11.2GS, 11.3(1), 11.3(3)T, 11.3(1)MA, 11.3(3)AA. Достигла состояния GD в версии 12.0(8) 18 февраля 2000 и будет поддерживаться 1.5 года после этого.

• добавлены имена для авторизации и учета (AAA)
• можно задавать и проверять количество процессов внутри NAS, обеспечивающих AAA (ранее всегда был 1 процесс)
• MS CHAP (только для Enterprise?!)
• специфические атрибуты для RADIUS
• E1 R2 сигнализация (для России использовать либо ITU, либо East Europe), только MICA модемы
• поддержка модифицированной сигнализации R1 (Тайвань, Турция)
• Cisco Express Forwarding (CEF)
• унифицированная модель работы с хранимыми объектами в виде файловой системы (флеш, TFTP, rcp, FTP, NVRAM, ROM, DRAM, microcode, XMODEM, modem memory) с использованием URL в качестве схемы адресации
• Committed Access Rate (ограничение загрузки интерфейса и присвоение QoS приоритетов)
• фильтрация отладочной печати
• контекстные ACL (только для FW наборов)
• Dialer Watch - более гибкое управление резервными линиями
• шифрование поверх FR
• дополнительные интервалы номеров ACL (1300-1999 для стандартных и 2000-2699 для расширенных)
• связка до 8 Fast Ethernet в один логический пучок
• Internet Key Exchange Protocol (IKE - часть IPsec)
• собственно IPsec (только для соответствующих наборов)
• сбор статистики посланных байтов и пакетов на основе MAC адресов
• MS PPP Compression
• MS Callback
• PIMv2
• QoS через BGP
• SNMP Inform Request (Trap с подтверждением)
• SNMP manager
• журнализация стандартных ACL (ранее была доступна только для расширенных ACL), 5-минутная буферизация и суммирование сообщений
• FTP сервер
• Tag Switching (комбинация bridge и routing)
• Voice over IP
• Web Cache Control Protocol - NAS незаметно для пользователя перенаправляет его запросы к http серверу на Cisco Cache Engine
• поддержка нового оборудования (Cisco 12000 series Gigabit Switch Routers, Cisco 7202, много новых адаптеров портов
• учетные записи для TACACS+ стали более подробными, слегка поменялся формат; неудачные попытки входа теперь тоже попадают в журнал
• в 12.0.7 расширена выдача finger/sys (появлися IP адрес для PPP соединений)

Наборы возможностей (feature set).

Каждый набор определяется 4 компонентами:

• IP и маршрутизация
• масштабируемость и совместимость
• управление
• коммутация (switching)

Как и для 11.2 каждый набор имеет модификации:

• просто
• Plus (в основном NAT, RMON)
• Plus40
• Plus56 (ограничение на экспорт из США)

Наборы для 2500 (в первоисточнике явные опечатки):

• IP, Plus, Plus 40, Plus 56 (8 MB Flash/4MB DRAM) - c2500-i-l, c2500-is-l, c2500-is40-l, c2500-is56-l
• IP Plus IPSec 56 (16MB/4MB) - c2500-is56i-l
• IP/FW (8MB/6MB) - c2500-io-l
• IP/FW Plus IPSec 56 (16MB/8MB) - c2500-ios56i-l
• IP/IPX/AT/DEC (8MB/4MB) - c2500-d-l
• IP/IPX/AT/Dec Plus (16MB/4MB) - c2500-ds-l
• IP/IPX/AT/DEC/FW Plus (16MB/6MB) - c2500-dos-l
• IP/IBM/APPN (16MB/8MB) - c2500-ai3r4-l
• Enterprise/APPN Plus, Plus 40, Plus 56, Plus IPSec 56 (16MB/8MB) - c2500-ajs-l, c2500-ajs40-l, c2500-ajs56-l, c2500-ajs56i-l
• ISDN (8MB/4MB) - c2500-g-l
• Enterprise Plus, Plus 40, Plus 56, Plus IPSec 56 (16MB/8MB) - c2500-js-l, c2500-js40-l, c2500-js56-l, c2500-js56i-l
• Enterprise/FW Plus 56, FW Plus IPSec 56 (16MB/8MB) - c2500-jos56-l, c2500-jos56i-l
• Remote Access Server (8MB/6MB) - c2500-c-l
• FRAD (8MB/4MB) - c2500-f-l
• LAN FRAD/OSPF (8MB/4MB) - c2500-f2in-l
• LAN FRAD (8MB/4MB) - c2500-fin-l

Ошибки в версии 12.0 (только те, которые меня задевают).

открытые ошибки в 12.0(11)

• If you are booting a Cisco router with no configuration saved in NVRAM, the configuration server must accept TFTP reads to the broadcast address, or the router will not be able to pull the configuration file down from the server. Workaround: Save the configuration to NVRAM.
• A Cisco 2500 series router might reload with a bus error at PC 0x3101EBE, address 0x4AFC4B46. There is no workaround.
• Cisco Discovery Protocol (CDP) does not work in both directions. There is no workaround.  (?)
• A defect in multiple versions of Cisco IOS software will cause a Cisco router or switch to stop and reload if the Cisco IOS http service is enabled and an attempt is made to browse to http://<router-ip. This defect can be exploited to produce a denial of service (DoS) attack. This defect has been discussed on public mailing lists and should be considered public information. The vulnerability, identified as Cisco bug ID CSCdr36952, affects virtually all mainstream Cisco routers and switches running Cisco IOS Release 11.1 through Release 12.1. The vulnerability has been corrected and Cisco is making fixed versions available to replace all affected Cisco IOS releases. Customers are urged to upgrade to releases that are not vulnerable to this defect.
  Workaround: Nullify the vulnerability by disabling the Cisco IOS HTTP server, by preventing access to the port in use by the HTTP server on the affected router or switch, or by applying an access-class option to the service itself. The IOS HTTP server is not enabled by default except on a small number of router models in  specific circumstances.
• If the address range defined in a Network Address Translation (NAT) pool is large, CPU utilization might rise up to 100 percent. Workaround: Split the address range into smaller ranges, and define more NAT pools.
• A Cisco 2500 series router that is running Cisco IOS Release 12.0(7) encounters negative input queue values under the interface.
• Removing a dialer interface in the middle of a callback might cause a Cisco router to reload. Workaround: Ensure that there are no active calls before reconfiguring a dialer interface. A reload of the router will bring the interface back.
• The disconnect-cause and disconnect-cause-ext attributes are missing in the TACACS+ network accounting stop record
• boot config device:filename command does not work in Cisco IOS Release 12.0.
• In some cases, unconfiguring the dialer string while the dialer string is in use can cause a Cisco router to reload. It is advised that you unconfigure the dialer string when it is not in use. There is no workaround.
• замечено мной в is40-12.0.7 (может быть уже исправлено): время от времени перезагружается с сообщением
  System restarted by error - Software forced crash, PC 0x31C2852. Жить с этим нельзя :(

исправлено в 12.0(11)

• IP access lists always permit IP fragments. There is no workaround (гм, уже иправлялось в 12.0(4))
• In Cisco IOS Release12.0, if you use the ppp pap sent-username username password password interface configuration command on a dialer profile, this   command must also be added to the physical interface. There is no workaround.
• Network Address Translation (NAT) might stop creating new entries after running for an indeterminate amount of time.   Workaround: Clear the NAT translation table.

исправлено в 12.0(10)

• перезагрузка при ссылке на закрытую tty/telnet сессию
• A Cisco router may experience a bus error and reload when you enter the ip accounting output-packets command. There is no workaround
• A Dynamic Host Configuration Protocol (DHCP) proxy agent on a Cisco router assigns the same IP address to users that are on different ports but have the same username.

исправлено в 12.0(9)

• SNMP отваливается при перегрузках
• If you enter the show interface accounting command on a Cisco router that is running Cisco IOS Release 12.0(3)T, the accounting records are updated only when the first system interface is sampled, and all interfaces share the accounting record of the first interface. There is no workaround.
• A Cisco router might reload if certain IP packets addressed to a multicast destination with an invalid IP header are received. (RSP)
• A crypto Access Control List (ACL) with a DENY ACE that specifies a TCP or User Datagram Protocol (UDP) port might cause fragments to be dropped.
• Some internal registers might not correctly update when the link goes down.
• A Cisco 3640 router that is running Cisco IOS Release 12.0(7), might experience memory corruption (не на это ли я наткнулся, хоть у меня и не 3640)

исправлено в 12.0(8)

• A Cisco router might reload with a SegV error if you try to log in while the debug callback EXEC command is enabled.
• Running Link Access Procedure, Balanced (LAPB) under a heavy traffic load might cause frames to get lost within the router, which results in REJECTS, backup of output queue, and output drops.
• A Cisco router might reload immediately after you enable STAC compression. This condition occurs with High-Level Data Link Control (HDLC) encapsulation when FastPath packets or particles are present in the output queues when compression is enabled.
• The following entries might be added to the running configuration of a Cisco router even though Network Address Translation (NAT) is not configured: ip nat translation timeout never ip nat translation tcp-timeout never ip nat translation udp-timeout never ip nat translation finrst-timeout never ip nat translation syn-timeout never ip nat translation dns-timeout never ip nat translation icmp-timeout never. There is no workaround.

исправлено в 12.0(7)

исправлено в 12.0(6)

• If per-user configuration commands are downloaded from a AAA server, a Cisco AS5800 access server might reload or record spurious access errors. Workaround: Disable the per-user configuration commands or disable AAA authorization.
• Some IP fragments might be incorrectly filtered out by access lists.
• DNS replies that pass from "inside" to "outside" by way of Network Address Translation (NAT) might not be correctly NAT translated.
• Autoselect functionality does not exist in Cisco IOS Release 12.0 for vty prior to Release 12.0(6).

исправлено в 12.0(5)

• When utilizing Network Time Protocol (NTP) private mode and control type messages for remote query, a router might reload or you might see traceback messages
• A Cisco router might unexpectedly restart if multiple connections are made from a virtual terminal, and one of the connections is closed due to a session timeout while another connection is blocked from sending data due to being flow controlled.
• Some types of incorrectly formed DNS packets might cause a Cisco router to reload.
• CPU utilization can be too high due to the number of NAT entries in the NAT table.
• Committed Access Rate (CAR) fails to forward traffic when fragmentation is required and fast switching is in use.
• A relay IP address is not correctly completed when you configure DHCP proxy under virtual templates.
• If a Cisco platform that uses asynchronous ports is sent a BREAK sequence, closely followed by additional data, the line can stop sending output unless manual intervention occurs. This condition can occur until an automated script sends a Telnet BREAK sequence over a reverse-Telnet connection, and responds to a resulting prompt immediately, before the BREAK has finished.
• A Cisco router that is configured with callback-secure and callback-accept should disconnect all incoming calls. However, if a Microsoft Windows Dialup Networking client calls and authentication is passed, the call can stay up.
• A PPP peer might be able to request an IP address that belongs to an address pool other than those they are authorized to use.
• All platforms running MLP might potentially encounter a transient error condition where no links are assigned to a multilink bundle.
• замечено мной в is-12.0.3 :
  telnet cisco 2017 (AUX порт, пароль надо знать)
  прервать telnet
  получаем "System restarted by error - Software forced crash, PC 0x31B7E2A"

исправлено в 12.0(4)

• фрагментированые IP пакеты всегда пропускались ACL
• ошибки в NAT: в режиме работы с сокетами, NetBIOS, ftp port при использовании длинных имен файлов
• Committed Access Rate (CAR) is not working for an input list with the access list checking a MAC address
• When Multilink is configured over a serial interface, long delays occur with large packets. The problem is only seen when fair-queueing is configured on the interface.
• If you issue the show file [device:] filename command on a directory, without specifying the filename, a Cisco router might reload.
• Occasionally, the show dialer map command causes a Cisco router to reload. This condition only occurs when connections are dropped during the execution of the command. This problem affects Cisco IOS Releases 11.2(11)P and later.
• If the group-async interface is part of a dialer interface that does not have PPP authentication turned on, and the dialer rotary-group configuration is removed, the PPP users are not authenticated.
• Removing the dialer remote-name name command might cause a Cisco router to reload.
• Under certain conditions, PAP authentication request packets are leaked. The leaked packets are not recoverable, and enough memory can be lost that a reload of the router is necessary.

исправлено в 12.0(3)

• If two users on different tty connections simultaneously attempt to issue commands that access NVRAM (for example, show startup-config), the router might reload.
• AAA connection accounting works for a single connection on the router, but with multiple connections start records are generated for all connections. Only the first disconnected call has a stop record generated; subsequent closed connections do not. All records have the same Acct-session-id. This problem exists in Cisco IOS Release 11.3(2.4)T or later.
• You cannot enter the aaa authorization exec tacacs configuration command.
• AAA authentication method lists disappear when you upgrade from Cisco IOS Release 11.2 to Cisco IOS Release 11.3 or later IOS releases. When aaa authentication local-override is configured in a Release 11.2 IOS image and AAA authentication method lists have three or more methods defined, upgrading to Cisco IOS Release 11.3 or later IOS releases generates a traceback.
• A Cisco router might experience a software forced reload every one or two hours. This condition is caused by SNMP.
• Multilink PPP disappears from the running configuration if SLIP is invoked
• A Cisco router might fail when executing the show ip route network command.
• A Cisco router cannot handle TCP flows according to the QoS weight defined after a reload or after using the wr mem or conf mem commands.
• Custom queuing stops working completely as soon as rate-limit is activated. All queue counters show zero. Custom queuing can only be restored by reloading the router.
• If a User Datagram Protocol (UDP) packet with an invalid length is sent to port 514 (the syslog port) on an IOS device, the device is likely to reload. In this situation, a stack trace might not be saved. Such packets are sent by the popular nmap port scanning program.

исправлено в 12.0(2)

• их тут очень много

открытые ошибки в 12.0(3)T

• The snmp-server packetsize command does not function. The maximum Simple Network Management Protocol (SNMP) packetsize for Cisco IOS Release 12.0(3)T is fixed at 484. There is no workaround.
• RADIUS attribute 61 is missing in Cisco IOS Release 11.3(4.4)T. This condition also applies to Cisco IOS Release 12.0 T. There is no workaround.
• There is no way to specify chat scripts (modem-script, system-script) while using dialer profiles. It is possible to specify a chat script using Legacy dial-on-demand routing (DDR) by issuing the dialer map command. Workaround: If the line uses the same modem-script for all destinations, put the modem-script on the line.

исправлено в 12.0(3)T

• The mtu interface command cannot accept a value less than 1500 bytes

исправлено в 12.0(2)T

• RADIUS accounting does not work if you have separate authentication and accounting servers.

Версия 12.1(2)T - 08 июня 2000

Для cisco 2500 требуется 16MB flash и от 10МБ памяти.

12.1. Группы AAA серверов. Cisco Express Forwarding. H.323 и H.235. Support for IEEE 802.1Q encapsulation for Virtual LANs. Поиск и фильтрация вывода команд show и more. Улучшения в IP-телефонии. R1/R2/SS7 для AS5800. SNMPv3.

12.1T. Улучшения в multicast, frame relay, H.323, OSPF, Service Assurance (старое название - Response Time Reporter) - средство измерения производительности сети.