Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Utilisation des commandes nat, global, static, conduit et access-list et de la redirection (transfert) de port sur le pare-feu PIX

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Afin de maximiser la sécurité quand vous installez un pare-feu Cisco Secure PIX, il est important de comprendre la façon dont les paquets sont transmis entre des interfaces de sécurité plus élevée et des interfaces de sécurité de niveau inférieur à l'aide des commandes nat, global, static et conduit ou des commandes access-list et access-group dans le logiciel PIX versions 5.0 et ultérieures. Ce document explique les différences entre ces commandes, comment configurer la redirection de port (transfert) dans le logiciel PIX version 6.0 et la fonctionnalité de traduction d'adresses de réseau (NAT) ajoutée dans le logiciel PIX version 6.2.

Consultez Instructions PIX/ASA 7.x NAT et PAT pour en savoir plus sur les configurations de base NAT et de traduction d'adresse de port (PAT) sur les dispositifs de sécurité de la gamme Cisco PIX 500.

Référez-vous à Utilisation des déclarations NAT et PAT sur le pare-feu Cisco Secure PIX afin d'en savoir plus sur des exemples de configurations NAT et PAT de base sur le pare-feu Cisco Secure PIX.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de logiciel ci-après.

  • Logiciel pare-feu Cisco Secure PIX versions 4.4.5 et ultérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Diagramme du réseau

/image/gif/paws/12496/28b.gif

Configuration initiale

Les noms des interfaces sont :

  • nameif ethernet0 outside security0

  • nameif ethernet1 inside security100

Autoriser l'accès sortant

L'accès sortant décrit les connexions d'une interface à niveau de sécurité plus élevé à une interface à niveau de sécurité moins élevé. Cela inclut les connexions de l'intérieur vers l'extérieur, de l'intérieur vers des zones démilitarisées (DMZ), et de DMZ vers l'extérieur. Cela peut également inclure des connexions d'une DMZ vers une autre, tant que l'interface de la source de connexion a un niveau de sécurité plus élevé que la destination. Ceci peut être confirmé par un examen de la configuration de « nameif » sur le PIX.

Deux politiques sont requises pour permettre l'accès sortant. La première est une méthode de traduction. Ceci peut être une traduction statique utilisant la commande static, ou une traduction dynamique utilisant une règle nat/global. L'autre condition requise pour l'accès sortant s'applique en cas de présence d'une liste de contrôle d'accès (ACL), elle doit alors autoriser l'hôte d'origine à accéder à l'hôte de destination à l'aide du protocole et du port spécifiques. Par défaut, il n'y a aucune restriction d'accès aux connexions sortantes via PIX. Cela signifie que s'il n'y a aucune ACL configurée pour l'interface source, alors par défaut, la connexion sortante est autorisée s'il y a une méthode de traduction configurée.

Ces sections fournissent des exemples de configuration d'une méthode de traduction et de restriction de l'accès sortant avec l'utilisation d'une ACL.

Autoriser certains des hôtes internes à accéder aux réseaux externes

Cette configuration permet à tous les hôtes sur le sous-réseau 10.1.6.0/24 d'accéder à l'extérieur. Les commandes nat et global sont utilisées pour accomplir ceci.

  1. Définissez le groupe interne à inclure pour NAT.

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Spécifiez un pool d'adresses sur l'interface externe dans laquelle les hôtes définis dans l'instruction NAT sont traduits.

    global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
    

Maintenant les hôtes à l'intérieur peuvent accéder aux réseaux externes. Quand les hôtes de l'intérieur lancent une connexion vers l'extérieur, ils sont traduits en adresse du pool global. Notez que les adresses sont assignées à partir du pool global sur une base du premier arrivé, premier traduit, et commencent avec l'adresse la plus faible du pool. Par exemple, si l'hôte 10.1.6.25 est le premier à lancer une connexion à l'extérieur, il reçoit l'adresse 175.1.1.3. L'hôte suivant reçoit 175.1.1.4, etc. Ce n'est pas une traduction statique, et la traduction expire après une période d'inactivité comme définie par la commande timeout xlate hh: millimètre : ss.

Autoriser les hôtes internes restants à accéder aux réseaux externes

Le problème est qu'il y a plus d'hôtes internes que d'adresses externes. Employez la traduction d'adresse de port (PAT) pour permettre à tous les hôtes d'accéder à l'adresse externe. Si une adresse est spécifiée dans l'instruction global, cette adresse est une traduction de port. PIX autorise une traduction de port par interface et cette traduction prend en charge jusqu'à 65 535 objets xlate actifs sur l'adresse globale unique. Procédez comme suit :

  1. Définissez le groupe interne à inclure pour PAT (à l'aide de 0 0 nous sélectionnons tous les hôtes internes.)

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Spécifiez l'adresse globale à utiliser pour PAT.

    global (outside) 1 175.1.1.65
    

Il y a certaines choses à considérer quand vous utilisez PAT.

  • Les adresses IP que vous spécifiez pour PAT ne peuvent pas être dans un autre pool d'adresses globales.

  • PAT ne fonctionne pas avec les applications H.323, la mise en cache de noms de serveurs et le protocole de tunnellisation point à point (PPTP). PAT fonctionne avec Domain Name Service (DNS), FTP et FTP passif, HTTP, la messagerie électronique, l'appel de procédure distante (RPC), rshell, Telnet, le filtrage URL et détermination de route de sortie.

  • N'utilisez pas PAT quand vous devez exécuter des applications multimédias à travers le pare-feu. Les applications multimédias peuvent être en conflit avec les mappages de port que PAT fournit.

  • Dans le logiciel PIX version 4.2(2), la fonctionnalité PAT ne fonctionne pas avec les paquets de données IP qui arrivent en ordre inverse. Ce problème est corrigé dans la version 4.2(3).

  • Les adresses IP dans le pool d'adresses globales spécifié avec la commande global exigent des entrées DNS inversées afin de s'assurer que toutes les adresses réseau externes sont accessibles à travers PIX. Pour créer les mappages DNS inversés, utilisez un enregistrement PTR (Pointer) DNS dans le fichier de mappage d'adresses en noms pour chaque adresse globale. Sans entrées PTR, les sites peuvent subir une connectivité Internet lente ou intermittente, et les requêtes FTP échouent systématiquement.

    Par exemple, si une adresse IP globale est 175.1.1.3 et le nom de domaine pour le pare-feu PIX est pix.caguana.com, l'enregistrement PTR sera :

    3.1.1.175.in-addr.arpa. IN PTR 
    pix3.caguana.com 
    4.1.1.175.in-addr.arpa. IN PTR 
    pix4.caguana.com & so on.

Autoriser les hôtes internes à accéder à une DMZ sans traduction

Tandis que les configurations ci-avant dans ce document utilisent les commandes nat et global pour permettre à des hôtes sur le réseau interne d'accéder à des hôtes sur une interface DMZ en traduisant les adresses sources des hôtes internes, parfois une telle traduction n'est pas désirée. Mais quand un hôte sur une interface du pare-feu PIX lance une connexion à un hôte sur une autre interface, PIX doit avoir la possibilité de traduire l'adresse IP de cet hôte à travers lui-même. Même si l'adresse IP ne doit pas nécessairement être traduite, une traduction doit encore se produire. Par conséquent, afin de permettre aux hôtes internes d'accéder aux hôtes sur le DMZ, une traduction qui ne se traduit pas réellement doit être configuré.

Supposez que les hôtes sur le réseau interne de 10.1.6.0/24 aient besoin d'accéder aux hôtes sur le réseau DMZ de 172.22.1.0/24 :

  1. Créez une traduction statique entre le réseau interne entier et le DMZ qui ne traduit pas réellement des adresses internes.

    static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
    
  2. Créez une traduction statique pour permettre à un hôte interne d'accéder au DMZ sans traduire réellement l'adresse de l'hôte.

    static (inside,dmz) 10.1.6.100 10.1.6.100
    

    Remarque: Le PIX ajoute automatiquement un masque de réseau de 255.255.255.255.

Restreindre l'accès des hôtes internes aux réseaux externes

S'il y a une méthode de traduction valide définie pour l'hôte source, et aucune ACL définie pour l'interface PIX source, alors la connexion sortante est autorisée par défaut. Cependant, dans certains cas, il peut être nécessaire de restreindre l'accès sortant en fonction de la source, de la destination, du protocole et/ou du port. Afin d'accomplir cela, configurez une ACL avec la commande access-list et appliquez-la à l'interface PIX source de connexion avec la commande access-group. Les ACL PIX sont seulement appliquées dans la direction entrante. Les ACL sont disponibles dans le code PIX version 5.0.1 ou ultérieure. Le code ci-dessus utilise les instructions « outbound » et « apply » qui sont décrites dans la référence des commandes PIX.

C'est un exemple qui autorise l'accès HTTP sortant pour un sous-réseau, mais refuse à tous les autres hôtes l'accès HTTP vers l'extérieur, tout en permettant tout autre trafic IP pour chacun.

  1. Définissez l'ACL.

    access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
    

    Remarque: Les ACL PIX diffèrent des ACL sur les routeurs Cisco IOS parce que PIX n'utilise pas un masque générique comme Cisco IOS. Il utilise un masque de sous-réseau normal dans la définition de l'ACL. Comme avec les routeurs Cisco IOS, l'ACL PIX a un « refuser tout » implicite la fin de l'ACL.

  2. Appliquez l'ACL à l'interface interne.

    access-group acl_outbound in interface inside
    

Autoriser les hôtes non approuvés à accéder à des hôtes sur votre réseau approuvé

La plupart des organisations doivent autoriser des hôtes non approuvés sur des ressources dans leur réseau approuvé, avec pour exemple classique un serveur Web interne. Par défaut, PIX refuse les connexions d'hôtes externes vers des hôtes internes. Utilisez les commandes static et conduit pour autoriser cette connexion. Dans le logiciel PIX versions 5.0.1 et ultérieures, les commandes access-list et access-group sont disponibles en plus des commandes conduit.

Les conduits ou ACL semblent raisonnables pour un PIX à deux interfaces. Les conduits sont basés sur la direction. Ils ont un concept d'intérieur et extérieur. Avec un PIX à deux interfaces, le conduit permet le trafic de routage de l'extérieur vers l'intérieur. À la différence des conduits, les ACL sont appliquées aux interfaces avec une commande access-group. Cette commande associe l'ACL à l'interface pour examiner le trafic qui passe dans une direction particulière.

Contrairement aux commandes nat et global qui autorisent les hôtes internes vers l'extérieur, la commande static crée une traduction bi-directionnelle qui autorise les hôtes internes vers l'extérieur et les hôtes externes vers l'intérieur si les conduits appropriés sont créés ou si les ACL/groupes sont ajoutés (logiciel PIX version 5.0.1 ou ultérieure).

Dans les exemples de configuration PAT indiqués précédemment dans ce document, si un hôte externe essaie de se connecter à l'adresse globale, il peut être utilisé par des centaines d'hôtes internes. La commande static crée un mappage un-à-un. La commande conduit ou access-list définit quel type de connexion est autorisé à un hôte interne et est toujours requis quand un hôte d'un niveau de sécurité inférieur se connecte à un hôte d'un niveau de sécurité plus élevé. La commande conduit ou access-list est basée sur le port et le protocole. Il peut être très laxiste ou très restrictif, selon ce que l'administrateur système veut réaliser.

Le diagramme de réseau dans ce document montre l'utilisation de ces commandes afin de configurer PIX pour permettre à tout hôte non approuvé de se connecter au serveur Web interne, et permet à l'hôte non approuvé 199.199.199.24 d'accéder à un service FTP sur la même machine.

Utiliser les conduits sur PIX versions 4.4.5 et ultérieures

Complétez ces étapes pour le logiciel PIX versions 4.4.5 et ultérieures utilisant des conduits.

  1. Définissez une traduction d'adresse statique pour le serveur Web interne vers une adresse externe/globale.

    static (inside,outside) 175.1.1.254 10.200.1.254
    
  2. Définissez quels hôtes peuvent se connecter sur quels ports à votre serveur Web/FTP.

    conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
    

Dans le logiciel PIX versions 5.0.1 et ultérieures, les ACL avec des groupes d'accès peuvent être utilisées à la place des conduits. Les conduits sont encore disponibles, mais vous devez choisir entre l'utilisation des conduits ou des ACL. Il n'est pas recommandé de combiner les ACL et les conduits sur la même configuration. Si les deux sont configurés, les ACL sont préférées aux conduits.

Utiliser des listes de contrôle d'accès sur PIX versions 5.0.1 et ultérieures

Complétez ces étapes pour le logiciel PIX versions 5.0.1 et ultérieures utilisant des ACL.

  1. Définissez une traduction d'adresse statique pour le serveur Web interne vers une adresse externe/globale.

    static (inside, outside) 175.1.1.254 10.200.1.254
    
  2. Définissez quels hôtes peuvent se connecter sur quels ports à votre serveur Web/FTP.

    access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
    
  3. Appliquez l'ACL à l'interface externe.

    access-group 101 in interface outside
    

Remarque: Faites attention quand vous mettez en œuvre ces commandes. Si la commande conduit permit ip any any ou access-list 101 permit ip any any est appliquée, n'importe quel hôte sur le réseau non approuvé peut accéder à n'importe quel hôte sur le réseau approuvé utilisant l'IP tant qu'il y a une traduction active.

Désactiver NAT

Si vous avez une adresse publique sur le réseau interne et que vous voulez que les hôtes internes sortent à l'extérieur sans traduction, vous pouvez désactiver NAT. Vous devez également modifier la commande static.

Avec l'exemple dans ce document, la commande nat change comme le montre le résultat suivant :

nat (inside) 0 175.1.1.0 255.255.255.0 

Utilisez ces commandes si vous utilisez ACL dans le logiciel PIX versions 5.0.1 et ultérieures :

access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103

Cette commande désactive NAT pour le réseau 175.1.1.0. La commande static pour le serveur Web change comme le montre l'exemple suivant :

static (inside, outside) 175.1.1.254 175.1.1.254

Cette commande définit le conduit pour le serveur Web.

conduit permit tcp host 175.1.1.254 eq www any

Utilisez ces commandes si vous utilisez ACL dans le logiciel PIX versions 5.0.1 et ultérieures :

access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside

Notez que la différence entre l'utilisation de 0 nat avec le réseau/masque spécifié et l'utilisation d'une ACL qui utilise un réseau/masque qui permet le déclenchement de connexions de l'intérieur seulement. L'utilisation d'ACL permet le déclenchement de connexions par le trafic entrant ou sortant. Les interfaces PIX doivent être dans des sous-réseaux différents pour éviter des problèmes d'accessibilité.

Port Redirection(Forwarding) avec des commandes static

Dans PIX 6.0, la fonctionnalité de redirection de port (transfert) a été ajoutée afin de permettre à des utilisateurs externes de se connecter à une adresse IP/un port particuliers et pour que PIX redirige le trafic vers le serveur interne approprié ; la commande static a été modifiée. L'adresse partagée peut être une adresse unique, une adresse PAT sortante partagée, ou partagé avec l'interface externe.

Remarque: Ces commandes sont sur deux lignes en raison de l'espace limité.

static [(internal_if_name, external_if_name)] 
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit 
[norandomseq]]]
static [(internal_if_name, external_if_name)] {tcp|udp} 
{global_ip|interface} 
global_port local_ip local_port [netmask mask] [max_conns 
[emb_limit [norandomseq]]]

Voici les redirections de port pour l'exemple de réseau :

  • Les utilisateurs externes dirigent les demandes Telnet vers l'adresse IP unique 172.18.124.99, que PIX redirige vers 10.1.1.6.

  • Les utilisateurs externes dirigent les demandes FTP vers l'adresse IP unique 172.18.124.99, que PIX redirige vers 10.1.1.3.

  • Les utilisateurs externes dirigent les demandes Telnet vers l'adresse PAT 172.18.124.208, que PIX redirige vers 10.1.1.4.

  • Les utilisateurs externes dirigent la demande Telnet vers l'adresse IP externe PIX 172.18.124.216, que PIX redirige vers 10.1.1.5.

  • Les utilisateurs externes dirigent la demande HTTP vers l'adresse IP externe PIX 172.18.124.216, que PIX redirige vers 10.1.1.5.

  • Les utilisateurs externes dirigent les demandes de port 8080 HTTP vers l'adresse PAT 172.18.124.208, que PIX redirige vers le port 80 10.1.1.7.

Cet exemple bloque également l'accès de certains utilisateurs de l'intérieur vers l'extérieur avec ACL 100. Cette étape est facultative. Tout le trafic sortant est permis sans l'ACL en place.

Diagramme de réseau - Port Redirection(Forwarding)

/image/gif/paws/12496/28-02.gif

Configuration partielle de PIX - Redirection de port (transfert)

Cette configuration partielle illustre l'utilisation de la redirection de port statique.

Configuration partielle de PIX - Redirection de port (transfert)
fixup protocol ftp 21

!--- Use of an outbound ACL is optional.

access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain 

access-list 101 permit tcp any host 172.18.124.99 eq telnet 
access-list 101 permit tcp any host 172.18.124.99 eq ftp 
access-list 101 permit tcp any host 172.18.124.208 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq www 
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 
   www netmask 255.255.255.255 0 0

!--- Use of an outbound ACL is optional.

access-group 100 in interface inside
access-group 101 in interface outside

NAT externe

Dans PIX versions 6.2 et ultérieures, NAT et PAT peuvent être appliqués au trafic depuis une interface externe ou moins sécurisée, vers une interface interne (plus sécurisée). Ceci est parfois mentionné sous le nom de « NAT bidirectionnel ».

NAT/PAT externe est semblable à NAT/PAT interne, mais la traduction d'adresse est appliquée aux adresses des hôtes qui résident sur les interfaces externes (moins sécurisées) du PIX. Afin de configurer le NAT externe dynamique, indiquez les adresses à traduire sur l'interface moins sécurisée et indiquez la ou les adresse(s) globale(s) sur l'interface interne (plus sécurisée). Utilisez la commande static pour spécifier le mappage linéaire afin de configurer le NAT externe statique.

Après la configuration externe de NAT, quand un paquet arrive à l'interface externe du PIX (moins sécurisée), le PIX tente de localiser un xlate existant (entrée de traduction d'adresse) dans la base de données de connexions. Si aucun xlate n'existe, il recherche la politique NAT dans la configuration en cours. Si une politique NAT est trouvée, un xlate est créé et inséré dans la base de données. Le PIX réinscrit alors l'adresse source sur l'adresse mappée ou globale et transmet le paquet sur l'interface interne. Une fois que le xlate est établi, les adresses de tous les paquets suivants peuvent être rapidement traduites en consultant les entrées dans la base de données de connexions.

Diagramme de réseau - NAT externe

/image/gif/paws/12496/28-01.gif

Dans l'exemple :

  • Périphérique 10.100.1.2 à NAT à 209.165.202.135 en cas de sortie

  • Périphérique 209.165.202.129 à NAT à 10.100.1.3 en cas d'entrée

  • D'autres périphériques sur le réseau 10.100.1.x à NAT à des adresses dans le pool 209.165.202.140-209.165.202.141 en cas de sortie

  • Connectivité de périphérique 209.165.202.129 au périphérique 10.100.1.2 avec le périphérique 209.165.202.129 voyant l'équipement interne comme 209.165.202.135 et le périphérique 10.100.1.2 voyant le trafic de 209.165.202.129 comme provenant de 10.100.1.3 (en raison du NAT externe)

L'accès à tous les périphériques 209.165.202.x utilisant les ACL ou les conduits est autorisé.

Configuration partielle de PIX - NAT externe

Configuration partielle de PIX - NAT externe
ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

!--- Or in lieu of conduits, we leave the static statements but have the following.
 
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Si vous employez des pings ICMP pour tester une traduction configurée, les pings sont susceptibles d'échouer et de donner l'impression que la traduction ne fonctionne pas. Par défaut, le PIX bloque les messages ICMP des interfaces d'un niveau de sécurité inférieur envoyés aux interfaces d'un niveau de sécurité plus élevé. Ceci se produit même si la réponse d'écho est en réponse à un ping initié de l'intérieur. En conséquence, assurez-vous d'employer une autre méthode, comme le Telnet, pour vérifier votre configuration.

  • Après avoir apporté toutes les modifications aux règles de traduction sur le PIX, vous êtes fortement encouragé à émettre la commande clear xlate. Ceci garantit qu'aucune ancienne traduction n'interfère avec les traductions nouvellement configurées et ne les conduit à fonctionner de façon incorrecte.

  • Après avoir configuré ou modifié les traductions statiques entre les serveurs internes ou le DMZ et l'extérieur, il peut être nécessaire de supprimer le cache ARP du routeur de passerelle ou de tout autre périphérique next-hop.

Informations à collecter si vous ouvrez un dossier TAC

Si vous avez encore besoin d'aide après avoir suivi les étapes de dépannage ci-dessus et que voulez ouvrir un dossier avec le TAC Cisco, n'oubliez pas d'inclure les informations suivantes pour le dépannage de votre pare-feu PIX.
  • Description du problème et des détails topologiques pertinents
  • Dépannage avant d'ouvrir le dossier
  • Sortie de la commande show tech-support
  • Sortie de la commande show log après l'exécution avec la commande logging buffered debugging , ou les captures de console qui expliquent le problème (si disponible)
Attachez les données rassemblées à votre dossier dans un format de texte brut (.txt) non compressé. Vous pouvez joindre des informations à votre dossier en les téléchargeant à l'aide du Case Query Tool (clients enregistrés uniquement). Si vous ne pouvez pas accéder au Case Query Tool, vous pouvez envoyer les informations en pièce-jointe dans un e-mail à attach@cisco.com avec votre numéro de dossier dans l'objet du message.


Informations connexes


Document ID: 12496