Sécurité : Pare-feu Cisco IOS

Pare-feu basé sur la zone Cisco IOS : Site unique CME/CUE/GW ou filiale avec jonction SIP à CCM au siège

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Les Routeurs de service intégré de Cisco (ISR) offrent une plate-forme évolutive pour adresser des conditions requises de données et de réseau voix pour un large éventail d'applications. Bien que l'horizontal de menace des réseaux privés et connectés à Internet soit un environnement très dynamique, le Pare-feu de ½ du ¿  de Cisco IOSï offre des capacités d'inspection avec état et d'inspection et de contrôle d'application (AIC) pour définir et imposer une posture de réseau sécurisé, alors qu'il active la capacité commerciale et la continuité.

Ce document décrit des considérations de conception et de configuration pour des aspects de sécurité du pare-feu des données de Cisco et des scénarios basés sur ISR spécifiques d'application vocale. Les configurations pour des services vocaux et le Pare-feu sont donnés pour chaque scénario d'application. Chaque scénario décrit le VoIP et les configurations de sécurité séparément, suivi de la configuration de routeur entière. Votre réseau probablement peut exiger de l'autre configuration pour des services, tels que QoS et VPN, de mettre à jour la Qualité vocale et la confidentialité.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Fond du pare-feu d'IOS

Le Pare-feu Cisco IOS est typiquement déployé dans les scénarios d'application qui diffèrent des modèles de déploiement des Pare-feu d'appareils. Les déploiements typiques incluent des applications de télétravailleur, des sites de petite taille- ou de succursale, et des applications au détail, où le bas compte de périphérique, l'intégration des plusieurs services, et la profondeur de performance inférieure et de fonction de sécurité est désiré.

Tandis que l'application de l'inspection de Pare-feu, avec d'autres Services intégrés dans les Produits ISR, peut sembler attrayante du coût et du point de vue opérationnel, des considérations spécifiques doivent être évaluées pour déterminer si un Pare-feu basé sur routeur est approprié. L'application de chaque fonctionnalité supplémentaire engage la mémoire et les coûts de traitement, et peut vraisemblablement contribuer aux débits réduits de débit de transfert, à la plus grande latence de paquet, et à la perte de capacité de fonctionnalité au cours des périodes de chargement maximal si une solution basée sur routeur intégrée de faible puissance est déployée. Observez ces instructions quand vous décidez entre un routeur et une appliance :

  • Les Routeurs avec le multiple ont intégré des caractéristiques activées sont plus adaptés pour la succursale ou les sites de télétravail où moins périphériques offrent une meilleure solution.

  • La bande passante élevée, des applications performantes sont en général meilleure adressée avec des appliances ; Cisco ASA et le serveur de gestionnaire d'appel de Cisco Unified doivent être appliqués pour manipuler application et Traitement des appels NAT et de stratégie de sécurité, alors que les Routeurs adressent l'application de stratégie QoS, l'arrêt BLÊME, et les conditions requises de connectivité VPN de site à site.

Avant l'introduction de la version de logiciel 12.4(20)T de Cisco IOS, le Pare-feu classique et le Pare-feu basé sur zone de stratégie (ZFW) ne pouvaient pas approuver pleinement des capacités exigées pour le trafic VoIP et des services vocaux basés sur routeur, qui de grandes lacunes requises dans des stratégies autrement sécurisées de Pare-feu pour faciliter le trafic vocal, et prise en charge limitée offerte d'évoluer des protocoles de signalisation et de medias de VoIP.

Déployez le Pare-feu basé sur zone de stratégie de Cisco IOS

Le Pare-feu basé sur zone de stratégie de Cisco IOS, semblable à d'autres Pare-feu, peut seulement offrir un Pare-feu sécurisé si les exigences de sécurité du réseau sont identifiées et décrites par stratégie de sécurité. Il y a deux approches fondamentales à arriver à une stratégie de sécurité : le point de vue de confiance, par opposition au point de vue méfiant.

Le point de vue de confiance suppose que tout le trafic est digne de confiance, sauf que qui peut être spécifiquement identifié comme malveillant ou non désiré. On met en application une stratégie spécifique qui refuse seulement le trafic non désiré. Ce fait en général par les entrées de contrôle d'accès spécifiques d'utilisation ou les outils de signature ou basés sur comportement. Cette approche tend à gêner moins des applications existantes, mais exige une connaissance complète de l'horizontal de menace et de vulnérabilité, et exige de la vigilance constante d'adresser de nouvelles menaces et exploits pendant qu'elles apparaissent. Supplémentaire, la communauté d'utilisateurs doit jouer un grand rôle dans la maintenance de la Sécurité adéquate. Un environnement qui permet la large liberté avec peu de contrôle pour les occupants procure l'occasion substantielle aux problèmes provoqués par les personnes négligentes ou malveillantes. Un problème supplémentaire de cette approche est qu'il se fonde beaucoup davantage sur les outils de gestion efficaces et les contrôles d'application qui offrent la flexibilité et la représentation suffisantes de pouvoir surveiller et contrôler les données suspectes dans tout le trafic réseau. Tandis que la technologie est actuellement disponible pour faciliter ceci, la charge opérationnelle dépasse fréquemment les limites de la plupart des organismes.

Le point de vue méfiant suppose que tout le trafic réseau est peu désiré, excepté le bon trafic spécifiquement identifié. C'est une stratégie qui est appliquée, qui refuse tout le trafic de l'application, sauf que qui est explicitement laissé. Supplémentaire, l'inspection d'application et le contrôle (AIC) peuvent être mis en application pour identifier et refuser le trafic malveillant qui est spécifiquement ouvré pour exploiter de bonnes applications, aussi bien que le trafic non désiré qui déguise en tant que bon trafic. De nouveau, les contrôles d'application imposent des charges opérationnelles et de représentation au réseau, bien que le trafic le plus peu désiré doive être contrôlé par les filtres sans état, tels que le Listes de contrôle d'accès (ACL) ou la stratégie basée sur zone du Pare-feu de stratégie (ZFW), tellement là est sensiblement moins de trafic qui doit être traité par AIC, Système de prévention d'intrusion (IPS), ou d'autres contrôles basés sur signature, tels qu'apparier flexible de paquet (FPM) ou le Reconnaissance d'application fondée sur le réseau (NBAR). Si seulement on permet spécifiquement des ports désirés d'application (et le trafic dynamique de support-particularité résultant des connexions ou des sessions connues de contrôle), le seul trafic non désiré qui est présent sur le réseau doit tomber dans une particularité, le sous-ensemble plus-facile-reconnu, qui réduit l'ingénierie et la charge opérationnelle imposées pour mettre à jour le contrôle du trafic peu désiré.

Ce document décrit des configurations de sécurité de la voip basées sur le point de vue méfiant, ainsi seulement le trafic qui est permis dans les segments de réseau voix est laissé. Les stratégies de données tendent à être plus laxistes comme décrit par des notes dans la configuration de chaque scénario d'application.

Tous les déploiements de stratégie de sécurité doivent suivre un cycle en boucle bloquée de feedback ; les déploiements de la sécurité affectent typiquement la capacité et la fonctionnalité des applications existantes et doivent être ajustés pour réduire ou résoudre cette incidence.

Si vous avez besoin de fond supplémentaire pour configurer le Pare-feu basé sur zone de stratégie, passez en revue le guide de conception et d'application de Pare-feu de zone.

Considérations pour ZFW dans des environnements VoIP

Le guide de conception et d'application de Pare-feu de zone offre une brève discussion au sujet de Sécurité des routeurs avec l'utilisation des stratégies de sécurité à et de la zone d'individu du routeur, aussi bien que les capacités alternatives qui sont fournies par la diverse protection d'infrastructure réseau (NFP) comporte. des capacités basées sur routeur VoIP sont hébergées dans la zone d'individu du routeur, ainsi les stratégies de sécurité par lesquelles protégez le routeur doit se rendre compte des conditions requises pour le trafic vocal afin de faciliter la signalisation et les medias de Voix lancés et destinés au Cisco Unified CallManager Express, au Survivable Remote Site Telephony, et aux ressources en passerelle de Voix. Avant la version de logiciel 12.4(20)T de Cisco IOS, le Pare-feu classique et le Pare-feu basé sur zone de stratégie ne pouvaient pas faciliter entièrement les conditions requises du trafic VoIP, ainsi des stratégies de Pare-feu n'ont pas été optimalisées pour protéger entièrement des ressources. les stratégies de sécurité d'Auto-zone qui protègent les ressources basées sur routeur VoIP se fondent fortement sur des capacités introduites dans 12.4(20)T.

Caractéristiques de Voix du pare-feu d'IOS

Le Logiciel Cisco IOS version 12.4(20)T a introduit plusieurs améliorations pour activer le Pare-feu de zone de Co-résident et pour exprimer des capacités. Trois fonctions principales s'appliquent directement aux applications de voix sécurisée :

  • Améliorations de SIP : Passerelle d'Application-couche et inspection et contrôle d'application

    • Support de version de SIP de mises à jour à SIPv2, comme décrit par RFC 3261

    • Élargit la prise en charge de la signalisation de SIP pour identifier une plus grande variété d'écoulements d'appel

    • Introduit l'inspection d'application de SIP et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

    • Développe l'inspection d'auto-zone pour pouvoir identifier les canaux secondaires de signalisation et de medias qui résultent du trafic de SIP locally-destined/-originated

  • Soutien du trafic local maigre et de CME

    • Support de SCCP de mises à jour à la version 16 (précédemment version prise en charge 9)

    • Introduit l'inspection d'application de SCCP et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

    • Développe l'inspection d'auto-zone pour pouvoir identifier les canaux secondaires de signalisation et de medias qui résultent du trafic de SCCP locally-destined/-originated

  • H.323 soutien des versions 3 et 4

    • Les mises à jour les prennent en charge H.323 aux versions 3 et à 4 (précédemment versions prises en charge 1 et 2)

    • Introduit H.323 l'inspection d'application et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

Les configurations de Sécurité des routeurs décrites dans ce document incluent des capacités offertes par ces améliorations avec des explications pour décrire l'action appliquée par les stratégies. Les hyperliens aux différents documents de caractéristique sont disponibles dans la section Informations connexes de ce document si vous souhaitez passer en revue les détails complets pour les caractéristiques d'inspection de Voix.

Mises en garde

Afin de renforcer des points cités précédemment, l'application du Pare-feu Cisco IOS avec des capacités basées sur routeur de Voix doit appliquer le Pare-feu basé sur zone de stratégie. Le pare-feu d'IOS classique n'inclut pas la capacité nécessaire pour approuver pleinement les complexités de signalisation ou le comportement du trafic vocal.

Traduction d'adresses réseau (NAT)

Le traduction d'adresses réseau (NAT) de Cisco IOS est fréquemment configuré en même temps que le Pare-feu Cisco IOS, en particulier dans les cas où les réseaux privés doivent se connecter par interface à l'Internet, ou si les réseaux privés disparates doivent se connecter, en particulier si l'espace d'adresse IP superpose. Le logiciel de Cisco IOS inclut les passerelles NAT de couche application (ALGs) pour le SIP, maigre, et H.323. Dans le meilleur des cas, la connexion réseau pour la Voix IP peut être facilitée sans application de NAT puisque NAT introduit la complexité supplémentaire aux applications de dépannage et de stratégie de sécurité, en particulier dans les cas où la surcharge NAT est utilisée. NAT peut seulement être appliquée comme une solution de dernier-dossier pour aborder des soucis de connexion réseau.

Client de Cisco Unified Presence (CUPC)

Ce document ne décrit pas la configuration qui prend en charge l'utilisation du client de Cisco Unified Presence (CUPC) avec le pare-feu d'IOS puisque CUPC n'est pas encore pris en charge par zone ou Pare-feu classique, en date de la version du logiciel Cisco IOS 12.4(20)T1. CUPC sera pris en charge dans une version future de logiciel de Cisco IOS.

Site unique ou succursale CME/CUE/GW avec le joncteur réseau de SIP à CCM au QG ou au fournisseur de Voix

Ce scénario offre une compromission entre le site unique/call-processing/PSTN-connected distribué modèlent décrit plus tôt dans ce document (le site unique ou la succursale CME/CUE/GW qui se connectent au PSTN), et le multisite/a centralisé le Traitement des appels/réseau convergé de Voix-et-données définis dans le troisième scénario décrit dans ce document. Ce scénario utilise toujours un Cisco Unified CallManager Express local, mais la composition de fond et la téléphonie HQ/remote-site est facilitée principalement par des joncteurs réseau de SIP de site à site, avec le gens du pays-cadran et l'urgence composant par une connexion PSTN locale. Même dans les cas où la majorité de connectivité RTPC existante est enlevée, un niveau de base de capacité PSTN est recommandé pour faciliter la panne du contournement basé sur WAN de contournement composant, aussi bien que la composition locale comme décrit par le Plan de composition. Supplémentaire, lois locales exigent typiquement qu'un certain tri de connectivité RTPC locale est fourni pour faciliter la composition de secours (911). Ce scénario utilise le Traitement des appels distribué, qui offre des avantages et observe des pratiques recommandées comme décrit dans le Cisco Unified CallManager Express SRND.

Les organismes peuvent implémenter ce type de scénario d'application dans ces circonstances :

  • Des environnements disparates VoIP sont utilisés entre les sites, mais le VoIP est encore désiré au lieu du PSTN de fond.

  • l'autonomie de Site-par-site est nécessaire pour la gestion de Plan de composition.

  • La pleine capacité de Traitement des appels est nécessaire indépendamment de la Disponibilité BLÊME.

Fond de scénario

Le scénario d'application incorpore les téléphones de câble (Voix VLAN), le PC câblé (données VLAN), et les périphériques sans fil (qui incluent des appareils voip, tels que l'IP Communicator).

La configuration de sécurité fournit ces derniers :

  1. Routeur-initié signalant l'inspection entre CME et les téléphones locaux (SCCP et SIP) et le CME et la batterie du distant CUCM (SIP).

  2. Trous d'épingle de supports vocaux pour la transmission entre ces derniers :

    1. Segments de câble et Sans fil de gens du pays

    2. CME et les téléphones locaux pour le MoH

    3. CUE et les téléphones locaux pour la messagerie vocale

    4. Téléphones et entités distantes d'appel

  3. Inspection d'application et contrôle (AIC), qui peuvent être appliqués pour réaliser ces derniers :

    1. Le raté limit invitent des messages

    2. Assurez la conformité de protocole sur tout le trafic de SIP

Avantages/inconvénients

Cette application offre l'avantage des coûts réduits puisqu'elle porte le trafic vocal de site à site sur les liaisons de données BLÊMES.

Un inconvénient de ce scénario est que des plans plus détaillés pour la connectivité WAN est exigés. La qualité des communications de site à site peut être affectée par beaucoup de facteurs sur le WAN, tel qu'illégitime/trafic non désiré (vers, virus, partage de fichiers peer-to-peer) ou difficile-à identifiez les problèmes de latence qui peuvent surgir en raison de l'ingénierie de trafic sur des réseaux d'opérateur. Des connexions WAN doivent être classées convenablement pour offrir à bande passante suffisante pour des les deux le trafic voix et de données ; moins de trafic de données sensible à la latence, par exemple, email, le trafic de fichier SMB/CIFS, peut être classifié comme trafic de bas-priorité pour que QoS préserve la Qualité vocale.

L'autre sujet avec ce scénario est le manque de Traitement des appels centralisé et des difficultés qui peut surgir dans des pannes de Traitement des appels de dépannage. En soi, ce scénario fonctionne meilleur pour de plus grands organismes comme étape intermédiaire dans un transfert au Traitement des appels centralisé. Des gens du pays Cisco CMEs peuvent être convertis pour agir en tant que retour plein-comporté SRST pendant que le transfert au Cisco CallManager est terminé.

Du point de vue de Sécurité, la plus grande complexité de cet environnement fait la mise en œuvre d'un système de sécurité efficace et dépanner plus difficile parce que la Connectivité au-dessus d'un WAN, ou au-dessus du VPN sur l'Internet public, augmente considérablement l'environnement de menace, en particulier dans les cas où la stratégie de sécurité exige un point de vue de confiance, où peu de restriction est imposée au trafic au-dessus du WAN. À cet effet, les exemples de configuration fournis par ce document implémentent une stratégie plus méfiante qui permet le trafic capital pour l'entreprise spécifique, qui est alors examiné par des contrôles de conformité de protocole. En outre, des actions spécifiques VoIP, c.-à-d., SIP INVITE, sont limitées de réduire la probabilité des défaillances malveillantes ou involontaires de logiciel qui affectent négativement des ressources et la facilité d'utilisation VoIP.

Configurez

Configurations pour des stratégies de données, Pare-feu basé sur zone, sécurité voix, CCME

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-1.gif

Configurations

La configuration décrite ici illustre un Routeur à services intégrés Cisco 2851.

Ce document utilise les configurations suivantes :

  • Configuration de service vocal pour la Connectivité de CME et de CUE

  • Configuration basée sur zone de Pare-feu de stratégie

  • Configuration de la sécurité

C'est la configuration de service vocal pour la Connectivité de CME et de CUE :

Configuration de service vocal pour la Connectivité de CME et de CUE

!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13

!

C'est la configuration basée sur zone de Pare-feu de stratégie, composée de zones de Sécurité pour des segments de câble et Sans fil de RÉSEAU LOCAL, RÉSEAU LOCAL privé (composé de segments de câble et Sans fil), un segment BLÊME où la connectivité WAN de confiance est atteinte, et la zone d'individu où les ressources de Voix en routeur se trouvent :

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-2.gif

C'est la configuration de sécurité :

Configuration de la sécurité
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp

!
!

policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass

!

zone security private
zone security public
zone security wired
zone security wireless

!

zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap

!
!
!

interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

!

hostname 2851-cme2

!
!

logging message-counter syslog
logging buffered 51200 warnings

!

no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring

!

dot11 syslog
ip source-route

!
!

ip cef
no ip dhcp use vrf connected

!

ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com

!

ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1

!
!

ip domain name yourdomain.com

!

no ipv6 cef
multilink bundle-name authenticated

!
!
!
!

voice translation-rule 1
 rule 1 // /1001/

!
!

voice translation-profile default
 translate called 1

!
!

voice-card 0
 no dspfarm

!
!
!
!
!

interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

!

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

!

interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0

!

interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

!

interface FastEthernet0/2/0

!

interface FastEthernet0/2/1

!

interface FastEthernet0/2/2

!

interface FastEthernet0/2/3

!

interface Vlan1
 ip address 198.41.9.15 255.255.255.0

!

router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary

!

ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui

!
!

ip nat inside source list 111 interface 
   GigabitEthernet0/0 overload

!

access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   
   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any

!
!
!
!
!
!

tftp-server flash:/phone/7940-7960/
   P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/
   P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/
   P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/
   P00308000400.sbn alias P00308000400.sbn

!

control-plane

!
!
!

voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable

!

voice-port 0/0/1
 description FXO

!

voice-port 0/1/0
 description FXS

!

voice-port 0/1/1
 description FXS

!
!
!
!
!

dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10

!

dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register

!
!
!
!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 
   7960 Jun 10 2008 15:47:13

!
!

ephone-dn  1
 number 1001
 trunk A0

!
!

ephone-dn  2
 number 1002

!
!

ephone-dn  3
 number 3035452366
 label 2366
 trunk A0

!
!

ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3

!
!
!

ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3

!
!
!

ephone  5
 device-security-mode none

!
!
!

line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh

!

exception data-corruption buffer truncate
scheduler allocate 20000 1000
ntp server 172.16.1.1
end

La disposition, gèrent, et surveillent

La disposition et la configuration pour les ressources basées sur routeur en Téléphonie sur IP et le Pare-feu basé sur zone de stratégie est généralement meilleure facilitées avec le Cisco Configuration Professional. Le gestionnaire Cisco Secure ne prend en charge pas le Pare-feu basé sur zone de stratégie ou la Téléphonie sur IP basée sur routeur.

Le Pare-feu classique de Cisco IOS prend en charge la surveillance SNMP avec le MIB de Pare-feu de Cisco Unified, mais le Pare-feu basé sur zone de stratégie n'est pas encore pris en charge dans le MIB unifié de Pare-feu. En soi, la surveillance de Pare-feu doit être manipulée par des statistiques sur l'interface de ligne de commande du routeur, ou avec des outils GUI, tels que le Cisco Configuration Professional.

La prise en charge de base des offres Cisco Secures de surveillance et de système de rapports (CS-MARS) pour le Pare-feu basé sur zone de stratégie, bien que se connectant les modifications qui ont amélioré la corrélation de log-message pour trafiquer, qui ont été mis en application dans 12.4(15)T4/T5 et 12.4(20)T, encore n'ont pas été entièrement prises en charge dans CS-MARS.

Plans de capacité

Les résultats de test de performance d'inspection d'appel de Pare-feu d'Inde sont À déterminer.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Le Pare-feu de zone de Cisco IOS fournit des commandes d'exposition et de débogage de visualiser, surveiller, et dépanner l'activité du Pare-feu. Cette section décrit l'utilisation des commandes show de surveiller l'activité de base de Pare-feu, et une introduction aux commandes de débogage du Pare-feu de zone de dépanner votre configuration ou si la discussion avec le Soutien technique exige plus d'informations détaillées.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Le Pare-feu Cisco IOS offre plusieurs commandes show de visualiser la configuration et l'activité de stratégie de sécurité. Plusieurs de ces commandes peuvent être remplacées par une commande plus courte par l'application de la commande de pseudonyme.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Les commandes de debug peuvent être utiles au cas où vous utiliseriez une configuration atypique ou sans support, et devoir fonctionner avec Cisco TAC ou les Services de soutien technique des autres produits pour résoudre des problèmes d'interopérabilité.

Remarque: L'application des commandes de débogage aux capacités spécifiques ou du trafic peut entraîner un très grand nombre de messages console, qui fait devenir la console du routeur insensible. Dans même le ce vous devez mettre au point, vous pouvez prévoir l'accès alternatif d'interface de ligne de commande, tel qu'une fenêtre de telnet qui ne fait pas surveillent le dialogue terminal. Seulement l'enable mettent au point sur le matériel autonome (d'environnement de travaux pratiques) ou dans une fenêtre de maintenance prévue puisque mettez au point peut sensiblement affecter la représentation de routeur.


Informations connexes


Document ID: 108013