Segurança : Cisco IOS Firewall

O Cisco IOS divide o Firewall baseado: CME/CUE/GW escolhem o local ou o escritório filial com o tronco do SORVO ao CCM no QG

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O Roteadores do serviço integrado de Cisco (ISR) oferece uma plataforma escalável endereçar exigências dos dados e da rede de voz para um amplo intervalo dos aplicativos. Embora a paisagem da ameaça de redes privadas e Internet-conectadas seja muito um ambiente dinâmico, o Firewall de Cisco IOS� oferece a inspeção stateful e as capacidades da inspeção de aplicativo e do controle (AIC) de definir e reforçar uma postura segura da rede, quando permitir a capacidade e a continuidade do negócio.

Este documento descreve o projeto e as considerações de configuração para aspectos de segurança do Firewall de dados e de encenações ISR-baseados Cisco específicos do aplicativo de voz. As configurações para serviços de voz e o Firewall são fornecidos para cada encenação do aplicativo. Cada encenação descreve VoIP e as configurações de segurança separadamente, seguido pela configuração de roteador inteira. Sua rede possivelmente pode exigir a outra configuração para serviços, tais como QoS e VPN, manter a Qualidade de voz e a confidencialidade.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Fundo do firewall de IOS

O Cisco IOS Firewall é distribuído tipicamente nas encenações do aplicativo que diferem dos modelos de distribuição de Firewall do dispositivo. As implementações típicas incluem aplicativos do Teleworker, locais pequeno- ou do escritório filial, e os aplicativos varejos, onde a baixa contagem do dispositivo, a integração dos serviços múltiplos, e a profundidade do desempenho mais baixo e da capacidade de segurança são desejadas.

Quando o aplicativo da inspeção do Firewall, junto com outros Serviços integrados no Produtos ISR, puder parecer atrativo do custo e da perspectiva operacional, as considerações específicas devem ser avaliadas para determinar se um Firewall roteador-baseado é apropriado. O aplicativo de cada recursos adicionais incorre a memória e os custos de processamento, e pode provavelmente contribuir às taxas reduzidas do throughput de encaminhamento, à latência de pacote aumentada, e à perda de potencialidade de recursos dentro dos períodos de carga de pico se uma solução roteador-baseada integrada de fraca potência é distribuída. Observe estas diretrizes quando você decide entre um roteador e um dispositivo:

  • O Roteadores com as características integradas múltiplas permitidas é serido melhor para o escritório filial ou as instalações de telecomutador onde menos dispositivos oferecem uma solução melhor.

  • A largura de banda elevada, aplicativos de capacidade elevada é tipicamente melhor endereçada com dispositivos; Cisco ASA e server unificado Cisco do gerenciador de chamada deve ser aplicado para segurar o NAT e o aplicativo e o Processamento de chamadas da política de segurança, quando o Roteadores endereçar o aplicativo da política de QoS, a terminação MACILENTO, e os requisitos de conectividade do VPN de Site-para-Site.

Antes da introdução de versão 12.4(20)T do Cisco IOS Software, o Firewall clássico e o Firewall Zona-baseado da política (ZFW) eram incapazes de apoiar inteiramente as capacidades exigidas para o tráfego voip e os serviços de voz roteador-baseados, que grandes diferenças exigidas nas políticas de firewall de outra maneira seguras para acomodar o tráfego de voz, e apoio limitado oferecido para protocolos em desenvolvimento da sinalização voip e dos media.

Distribua o Firewall Zona-baseado Cisco IOS da política

O Firewall Zona-baseado Cisco IOS da política, similar a outros Firewall, pode somente oferecer um Firewall seguro se os requisitos de segurança da rede são identificados e descritos pela política de segurança. Há duas aproximações fundamentais a chegar em uma política de segurança: a perspectiva de confiança, ao contrário da perspectiva suspeito.

A perspectiva de confiança supõe que todo o tráfego é de confiança, salvo que que pode especificamente ser identificado como malicioso ou indesejável. Uma política específica é executada que negue somente o tráfego não desejado. Isto é tipicamente realizado através das entradas de controle de acesso específicas do uso ou das ferramentas da assinatura ou comportamento-baseado. Esta aproximação tende a interferir menos com os aplicativos existentes, mas exige um conhecimento detalhado da paisagem da ameaça e da vulnerabilidade, e exige a vigilância constante endereçar ameaças e façanhas novas enquanto aparecem. Adicionalmente, a comunidade de usuário deve fazer uma grande parte na manutenção da Segurança adequada. Um ambiente que permita a liberdade larga com pouco controle para os ocupante oferece a oportunidade substancial para os problemas causados por indivíduos descuidados ou maliciosos. Um problema adicional desta aproximação é que confia muito mais nas ferramentas e nos controles de aplicativo de gerenciamento efetivo que oferecem a suficientes flexibilidade e desempenho poder monitorar e controlar os dados suspeitos em todo o tráfego de rede. Quando a tecnologia estiver presentemente disponível para acomodar isto, a carga operacional excede frequentemente os limites da maioria de organizações.

A perspectiva suspeito supõe que todo o tráfego de rede é indesejado, à exceção do bom tráfego especificamente identificado. É uma política que sejam aplicada, que neguem todo o tráfego de aplicativo, salvo que que é permitido explicitamente. Adicionalmente, a inspeção de aplicativo e o controle (AIC) podem ser executados para identificar e negar o tráfego malicioso que crafted especificamente para explorar bons aplicativos, assim como o tráfego não desejado que masquerades como o bom tráfego. Além disso, os controles de aplicativo impõem cargas operacionais e do desempenho na rede, embora a maioria de tráfego indesejado deva ser controlado por filtros apátridas, tais como o Access Control Lists (ACLs) ou a política Zona-baseada do Firewall da política (ZFW), tão lá são substancialmente menos tráfego que deve ser segurado pelo AIC, pelo Intrusion Prevention System (IPS), ou por outro controles assinatura-baseados, tais como a harmonização flexível do pacote (FPM) ou o Network-Based Application Recognition (NBAR). Se somente as portas de aplicativo desejadas (e o tráfego media-específico dinâmico que elevara das conexões de controle conhecidas ou das sessões) são permitidos especificamente, o único tráfego não desejado que esta presente na rede deve cair em um específico, o subconjunto mais-fácil-reconhecido, que reduz a engenharia e a carga operacional impostas para manter o controle sobre tráfego indesejado.

Este documento descreve as configurações de segurança de VoIP baseadas na perspectiva suspeito, tão somente o tráfego que é permissível nos segmentos da rede de voz é permitido. As políticas dos dados tendem a ser mais permissivos como descritas por notas na configuração de cada encenação do aplicativo.

Todas as disposições da política de segurança devem seguir um ciclo do feedback de loop fechado; as distribuições de segurança afetam tipicamente a capacidade e a funcionalidade de aplicativos existentes e devem ser ajustadas para minimizar ou resolver este impacto.

Se você precisa o fundo adicional de configurar o Firewall Zona-baseado da política, reveja o guia do projeto e do aplicativo do Firewall da zona.

Considerações para ZFW nos ambientes VoIP

O guia do projeto e do aplicativo do Firewall da zona oferece uma breve discussão sobre a Segurança de roteadores com o uso das políticas de segurança a e da zona do auto do roteador, assim como as capacidades alternativas que são fornecidas com a vária proteção da fundação da rede (NFP) caracterizam. as capacidades Roteador-baseadas de VoIP são hospedadas dentro da zona do auto do roteador, assim as políticas de segurança por que proteja o roteador deve estar ciente das exigências para o tráfego de voz a fim acomodar a sinalização de voz e os media originados e destinados aos recursos de Cisco Unified CallManager Express, do Survivable Remote Site Telephony, e do gateway de voz. Antes da versão 12.4(20)T do Cisco IOS Software, o Firewall clássico e o Firewall Zona-baseado da política eram incapazes de acomodar inteiramente as exigências do tráfego voip, assim que as políticas de firewall não foram aperfeiçoadas para proteger inteiramente recursos. as políticas de segurança da Auto-zona que protegem recursos roteador-baseados de VoIP confiam pesadamente nas capacidades introduzidas em 12.4(20)T.

Recursos da voz do firewall de IOS

O Cisco IOS Software Release 12.4(20)T introduziu diversos realces para permitir o Firewall co-residente e as capacidades de voz da zona. Três recursos principais aplicam-se diretamente para fixar Aplicações de voz:

  • Realces do SORVO: Gateway de camada de aplicativo e inspeção de aplicativo e controle

    • Suporte de versão do SORVO das atualizações a SIPv2, como descrito pelo RFC 3261

    • Alarga o suporte de sinalização do SORVO para reconhecer uma variedade mais larga de fluxos de chamadas

    • Introduz a inspeção de aplicativo do SORVO e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

    • Expande a inspeção da auto-zona para poder reconhecer os canais secundários da sinalização e dos media que resultam do tráfego do SORVO locally-destined/-originated

  • Apoio para o tráfego local magro e o CME

    • Apoio das atualizações SCCP à versão 16 (previamente versão suportada 9)

    • Introduz a inspeção de aplicativo SCCP e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

    • Expande a inspeção da auto-zona para poder reconhecer os canais secundários da sinalização e dos media que resultam do tráfego locally-destined/-originated SCCP

  • Apoio de H.323 para versões 3 e 4

    • Apoio de H.323 das atualizações às versões 3 e a 4 (previamente versões suportadas 1 e 2)

    • Introduz a inspeção de aplicativo de H.323 e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

As configurações de Segurança de roteadores descritas neste documento incluem as capacidades oferecidas por estes realces com explicações descrever a ação aplicada pelas políticas. Os hiperlinks aos documentos dos recursos individuais estão disponíveis na seção Informação Relacionada deste documento se você deseja rever os detalhes completos para as características da inspeção da Voz.

Caveats

A fim reforçar os pontos mencionados mais cedo, o aplicativo do Cisco IOS Firewall com as capacidades de voz roteador-baseadas deve aplicar o Firewall Zona-baseado da política. O firewall de IOS clássico não inclui a capacidade necessário de apoiar inteiramente as complexidades da sinalização ou o comportamento do tráfego de voz.

Network Address Translation (NAT)

O Cisco IOS Network Address Translation (NAT) está configurado frequentemente simultaneamente com o Cisco IOS Firewall, particularmente nos casos onde as redes privadas devem conectar com o Internet, ou se as redes privadas díspares devem conectar, particularmente se o espaço de endereços IP sobrepõe. O Cisco IOS Software inclui gateway de camadas de aplicativo NAT (ALGs) para o SORVO, magro, e o H.323. Idealmente, a conectividade de rede para a Voz IP pode ser acomodada sem o aplicativo do NAT desde que o NAT introduz a complexidade adicional aos aplicativos da pesquisa de defeitos e da política de segurança, particularmente nos casos onde a sobrecarga NAT é usada. O NAT pode somente ser aplicado como uma solução do último-caso para endereçar interesses da conectividade de rede.

Cliente do Cisco Unified Presence (CUPC)

Este documento não descreve a configuração que apoia o uso do cliente do Cisco Unified Presence (CUPC) com firewall de IOS desde que CUPC não é apoiado ainda pela zona ou pelo Firewall clássico, até à data do Cisco IOS Software Release 12.4(20)T1. CUPC será apoiado em uma liberação futura do Cisco IOS Software.

CME/CUE/GW escolhem o local ou o escritório filial com o tronco do SORVO ao CCM no QG ou exprimem o fornecedor

Esta encenação oferece um acordo entre o único-local/call-processing/PSTN-connected distribuído modela descrito mais cedo neste documento (local ou o escritório filial CME/CUE/GW o único que conectam ao PSTN), e o processamento do multi-local/chamada centralizada/convirgiu rede de voz e de dados definida na terceira encenação descrita neste documento. Esta encenação ainda usa Cisco Unified CallManager Express local, mas o discagem de longa distância e a telefonia HQ/remote-site são acomodados primeiramente através dos troncos de site para site do SORVO, com o local-seletor e a emergência que discam através de uma conexão PSTN local. Mesmo nos casos onde a maioria da conectividade de PSTN do legado é removida, um nível básico da capacidade PSTN é recomendado acomodar a falha do Toll Bypass WAN-baseado que disca, assim como a área local que disca como descrita pelo Plano de discagem. Adicionalmente, leis local exigem tipicamente que alguma conectividade de PSTN local está fornecida meio para acomodar discar da emergência (911). Esta encenação emprega o Processamento de chamadas distribuído, que oferece benefícios e observa melhores prática como descrito em Cisco Unified CallManager Express SRND.

As organizações podem executar este tipo de encenação do aplicativo nestas circunstâncias:

  • Os ambientes VoIP díspares são usados entre locais, mas VoIP é desejado ainda no lugar do PSTN interurbano.

  • a autonomia do Local-por-local é precisada para a administração do dial plan.

  • A capacidade de processamento de chamada completa é precisada apesar da disponibilidade de WAN.

Fundo da encenação

A encenação do aplicativo incorpora telefones prendidos (Voz VLAN), PC prendidos (VLAN de dados), e dispositivos Wireless (que incluem dispositivos voip, tais como o comunicador IP).

A configuração de segurança fornece estes:

  1. Roteador-iniciado sinalizando a inspeção entre o CME e os telefones locais (SCCP e SORVO) e o CME e o conjunto remoto CUCM (SORVO).

  2. Furo de pino das mídias de voz para uma comunicação entre estes:

    1. Segmentos prendidos e wireless do Local

    2. CME e os telefones locais para MoH

    3. SUGESTÃO e os telefones locais para o correio de voz

    4. Telefones e entidades remotas do atendimento

  3. Inspeção de aplicativo e controle (AIC), que podem ser aplicados para conseguir estes:

    1. O limite de taxa convida mensagens

    2. Assegure a conformidade do protocolo em todo o tráfego do SORVO

Vantagens/desvantagens

Este aplicativo oferece o benefício de custos reduzidos desde que leva o tráfego de voz de site para site nos links de dados MACILENTOS.

Uma desvantagem desta encenação é que mais planos detalhados para a conectividade de WAN estão exigidos. A qualidade da chamada de site para site pode ser afetada por muitos fatores em WAN, tal como ilegítimo/tráfego não desejado (worms, vírus, compartilhamento de arquivo peer-to-peer) ou difícil-a identifique os problemas de latência que podem elevarar em consequência da engenharia de tráfego em redes do portador. As conexões de WAN devem ser feitas sob medida apropriadamente para oferecer a largura de banda suficiente para ambos a voz e tráfego de dados; menos tráfego de dados latência-sensível, por exemplo, email, tráfego do arquivo SMB/CIFS, pode ser classificado como o tráfego de prioridade mais baixa para que QoS preserve a Qualidade de voz.

O outro problema com esta encenação é a falta do processamento de chamada centralizada e das dificuldades que pode elevarar em falhas do processamento de chamada do Troubleshooting. Como tal, esta encenação trabalha melhor para organizações maiores como uma etapa intermediária em uma migração ao processamento de chamada centralizado. Cisco local CME pode ser convertido para atuar como o recuo de SRST completo-caracterizado enquanto a migração ao CallManager da Cisco é terminada.

Da perspectiva da Segurança, a complexidade aumentada deste ambiente faz a implementação de segurança eficaz e a pesquisa de defeitos de mais difícil porque a Conectividade sobre WAN, ou sobre o VPN nos Internet públicas, aumenta dramaticamente o ambiente da ameaça, particularmente nos casos onde a política de segurança exige uma perspectiva de confiança, onde pouca limitação seja imposta no tráfego sobre WAN. Com isto em mente, os exemplos de configuração fornecidos por este documento executam uma política mais suspeito que permita o tráfego crítico para negócio específico, que é examinado então por verificações da conformidade do protocolo. Além disso, as ações específicas de VoIP, isto é, SORVO CONVIDAM, são limitadas para reduzir a probabilidade dos maus funcionamentos maliciosos ou involuntários do software que impactam negativamente recursos e usabilidade de VoIP.

Configurar

As configurações para políticas dos dados, Firewall Zona-baseado, exprimem a Segurança, CCME

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-1.gif

Configurações

A configuração descrita aqui ilustra um Roteador de serviços integrados Cisco 2851.

Este documento utiliza as seguintes configurações:

  • Configuração do serviço de voz para a Conectividade CME e de SUGESTÃO

  • Configuração de firewall Zona-baseada da política

  • Configuração de segurança

Esta é a configuração do serviço de voz para a Conectividade CME e de SUGESTÃO:

Configuração do serviço de voz para a Conectividade CME e de SUGESTÃO

!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13

!

Esta é a configuração de firewall Zona-baseada da política, composta de zonas de Segurança para segmentos prendido e do Wireless LAN, LAN privada (composta de segmentos prendidos e wireless), um segmento MACILENTO onde a conectividade de WAN confiada seja alcançada, e a zona do auto onde os recursos da Voz do roteador são encontrados:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-2.gif

Esta é a configuração de segurança:

Configuração de segurança
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp

!
!

policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass

!

zone security private
zone security public
zone security wired
zone security wireless

!

zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap

!
!
!

interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

!

hostname 2851-cme2

!
!

logging message-counter syslog
logging buffered 51200 warnings

!

no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring

!

dot11 syslog
ip source-route

!
!

ip cef
no ip dhcp use vrf connected

!

ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com

!

ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1

!
!

ip domain name yourdomain.com

!

no ipv6 cef
multilink bundle-name authenticated

!
!
!
!

voice translation-rule 1
 rule 1 // /1001/

!
!

voice translation-profile default
 translate called 1

!
!

voice-card 0
 no dspfarm

!
!
!
!
!

interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

!

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

!

interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0

!

interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

!

interface FastEthernet0/2/0

!

interface FastEthernet0/2/1

!

interface FastEthernet0/2/2

!

interface FastEthernet0/2/3

!

interface Vlan1
 ip address 198.41.9.15 255.255.255.0

!

router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary

!

ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui

!
!

ip nat inside source list 111 interface 
   GigabitEthernet0/0 overload

!

access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   
   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any

!
!
!
!
!
!

tftp-server flash:/phone/7940-7960/
   P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/
   P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/
   P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/
   P00308000400.sbn alias P00308000400.sbn

!

control-plane

!
!
!

voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable

!

voice-port 0/0/1
 description FXO

!

voice-port 0/1/0
 description FXS

!

voice-port 0/1/1
 description FXS

!
!
!
!
!

dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10

!

dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register

!
!
!
!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 
   7960 Jun 10 2008 15:47:13

!
!

ephone-dn  1
 number 1001
 trunk A0

!
!

ephone-dn  2
 number 1002

!
!

ephone-dn  3
 number 3035452366
 label 2366
 trunk A0

!
!

ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3

!
!
!

ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3

!
!
!

ephone  5
 device-security-mode none

!
!
!

line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh

!

exception data-corruption buffer truncate
scheduler allocate 20000 1000
ntp server 172.16.1.1
end

A disposição, controla, e monitora

A disposição e a configuração para recursos roteador-baseados da Telefonia IP e o Firewall Zona-baseado da política são geralmente as melhores acomodadas com o Cisco Configuration Professional. O gerente seguro de Cisco não apoia o Firewall Zona-baseado da política ou a Telefonia IP roteador-baseada.

O Firewall clássico do Cisco IOS apoia a monitoração SNMP com o Firewall unificado Cisco MIB, mas o Firewall Zona-baseado da política não é apoiado ainda no Firewall unificado MIB. Como tal, a monitoração do Firewall deve ser segurada com as estatísticas na interface de linha de comando do roteador, ou com as ferramentas GUI, tais como o Cisco Configuration Professional.

Suporte básico das ofertas seguras da monitoração e do sistema de reporte de Cisco (CS-MARS) para o Firewall Zona-baseado da política, embora as mudanças de registo que melhoraram a correlação do mensagem de registro para traficar, que foram executadas em 12.4(15)T4/T5 e em 12.4(20)T, não fossem apoiadas ainda inteiramente em CS-MARS.

Planos da capacidade

Os resultados de teste de desempenho da inspeção do atendimento do Firewall da Índia são TBD.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

O Firewall da zona do Cisco IOS fornece comandos show and debug ver, monitorar, e pesquisar defeitos a atividade do Firewall. Esta seção descreve o uso dos comandos show monitorar a atividade básica do Firewall, e uma introdução aos comandos debug do Firewall da zona pesquisar defeitos sua configuração ou se a discussão com Suporte técnico exige mais informação detalhada.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

O Cisco IOS Firewall oferece diversos comandos show ver a configuração e a atividade da política de segurança. Muitos destes comandos podem ser substituídos com um comando mais curto com o aplicativo do comando alias.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Os comandos Debug podem ser úteis caso você estiver usando um atípico ou uma configuração não suportada, e precisar de trabalhar com o tac Cisco ou os Serviços de suporte técnico do outro Produtos para resolver questões de interoperabilidade.

Nota: O aplicativo dos comandos debug às capacidades específicas ou do tráfego pode causar muito um número grande de mensagens do console, que faça com que o console de roteador se torne sem resposta. Mesmo no esse você precisa de debugar, você pode prever o acesso alternativo da interface de linha de comando, tal como uma janela de Telnet que não faça monitore o diálogo terminal. Permita somente debugam no equipamento autónomo (do ambiente de laboratório) ou dentro de um indicador da manutenção planejada desde que debugar pode substancialmente afetar o desempenho de roteador.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 108013