Sécurité : Pare-feu Cisco IOS

Pare-feu basé sur la zone IOS : Exemple de configuration de site unique CME/CUE/GW ou connexion PSTN de filiale

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Les Routeurs de service intégré de Cisco (ISR) offrent une plate-forme évolutive pour adresser des conditions requises de données et de réseau voix pour un large éventail d'applications. Bien que l'horizontal de menace des réseaux privés et connectés à Internet soit un environnement très dynamique, le Pare-feu Cisco IOS offre des capacités d'inspection avec état et d'inspection et de contrôle d'application (AIC) pour définir et imposer une posture de réseau sécurisé, tout en activant la capacité commerciale et la continuité.

Ce document décrit des considérations de conception et de configuration pour des aspects de sécurité du pare-feu des données de Cisco et des scénarios basés sur ISR spécifiques d'application vocale. La configuration pour des services vocaux et le Pare-feu sont donnés pour chaque scénario d'application. Chaque scénario décrit le VoIP et les configurations de sécurité séparément, suivi de la configuration de routeur entière. Votre réseau peut exiger de l'autre configuration pour des services tels que QoS et VPN de mettre à jour la Qualité vocale et la confidentialité.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Fond du pare-feu d'IOS

Le Pare-feu Cisco IOS est typiquement déployé dans les scénarios d'application qui diffèrent des modèles du déploiement des Pare-feu d'appareils. Les déploiements typiques incluent des applications de télétravailleur, des sites de petite taille- ou de succursale, et des applications au détail, où le bas compte de périphérique, l'intégration des plusieurs services, et la profondeur de performance inférieure et de fonction de sécurité est désiré.

Tandis que l'application de l'inspection de Pare-feu, avec d'autres Services intégrés dans les Produits ISR, pourrait sembler attrayante du coût et du point de vue opérationnel, des considérations spécifiques doivent être évaluées afin de déterminer si un Pare-feu basé sur routeur est approprié. L'application de chaque fonctionnalité supplémentaire engage la mémoire et les coûts de traitement et contribuera vraisemblablement aux débits réduits de débit de transfert, à la plus grande latence de paquet, et à la perte de capacité de fonctionnalité au cours des périodes de chargement maximal si une solution basée sur routeur intégrée de faible puissance est déployée.

Suivez ces instructions quand vous décidez entre un routeur et une appliance :

  • Les Routeurs avec le multiple ont intégré des caractéristiques activées sont plus adaptés pour la succursale ou les sites de télétravail où moins de périphériques offrent une meilleure solution.

  • La bande passante élevée, des applications performantes sont en général meilleure adressée avec des appliances : Cisco ASA et le serveur de gestionnaire d'appel de Cisco Unified devraient être appliqués pour manipuler application et Traitement des appels NAT et de stratégie de sécurité, alors que les Routeurs adressent l'application de stratégie QoS, l'arrêt BLÊME, et les conditions requises de connectivité VPN de site à site.

Avant l'introduction de la version de logiciel 12.4(20)T de Cisco IOS, le Pare-feu classique et le Pare-feu basé sur zone de stratégie (ZFW) ne pouvaient pas approuver pleinement des capacités exigées pour le trafic VoIP et des services vocaux basés sur routeur, exiger de grandes ouvertures dans des stratégies autrement sécurisées de Pare-feu de faciliter le trafic vocal, et offrir la prise en charge limitée d'évoluer des protocoles de signalisation et de medias de VoIP.

Déployer le Pare-feu basé sur zone de stratégie de Cisco IOS

Le Pare-feu basé sur zone de stratégie de Cisco IOS, semblable à d'autres Pare-feu, peut seulement offrir un Pare-feu sécurisé si les exigences de la sécurité du réseau sont identifiées et décrites par stratégie de sécurité. Il y a deux approches fondamentales à arriver à une stratégie de sécurité : le point de vue de confiance, par opposition au point de vue méfiant.

Le point de vue de confiance suppose que tout le trafic est digne de confiance, sauf que qui peut être spécifiquement identifié comme malveillant ou non désiré. On met en application une stratégie spécifique qui refuse seulement le trafic non désiré. Ce fait en général par les entrées de contrôle d'accès spécifiques d'utilisation, ou les outils de signature ou basés sur comportement. Cette approche tend à gêner moins des applications existantes, mais exige une connaissance complète de l'horizontal de menace et de vulnérabilité, et exige de la vigilance constante d'adresser de nouvelles menaces et exploits pendant qu'elles apparaissent. Supplémentaire, la communauté d'utilisateurs doit jouer un grand rôle en mettant à jour la Sécurité adéquate. Un environnement qui permet la large liberté avec peu de contrôle pour les occupants procure l'occasion substantielle aux problèmes provoqués par les personnes négligentes ou malveillantes. Un problème supplémentaire de cette approche est qu'il se fonde beaucoup davantage sur les outils de gestion efficaces et les contrôles d'application qui offrent la flexibilité et la représentation suffisantes de pouvoir surveiller et contrôler les données suspectes dans tout le trafic réseau. Tandis que la technologie est actuellement disponible pour faciliter ceci, la charge opérationnelle dépasse fréquemment les limites de la plupart des organismes.

Le point de vue méfiant suppose que tout le trafic réseau est peu désiré, excepté le bon trafic spécifiquement identifié. On permet explicitement une stratégie qui est appliquée qui refuse tout le trafic de l'application sauf que qui. Supplémentaire, l'inspection d'application et le contrôle (AIC) peuvent être mis en application pour identifier et refuser le trafic malveillant qui est spécifiquement ouvré pour exploiter de bonnes applications de `, aussi bien que le trafic non désiré qui déguise en tant que bon trafic. De nouveau, les contrôles d'application imposent opérationnel et les charges de représentation sur le réseau, bien que le trafic le plus peu désiré devrait être contrôlé par les filtres sans état tels que le Listes de contrôle d'accès (ACL) ou la stratégie basée sur zone du Pare-feu de stratégie (ZFW), tellement là devraient être sensiblement moins de trafic qui doit être traité par AIC, Système de prévention d'intrusion (IPS), ou d'autres contrôles basés sur signature tels qu'apparier flexible de paquet (FPM) ou le Reconnaissance d'application fondée sur le réseau (NBAR). Ainsi, si seulement on permet spécifiquement des ports désirés d'application (et le trafic dynamique de support-particularité résultant des connexions ou des sessions connues de contrôle), le seul trafic non désiré qui devrait être présent sur le réseau devrait tomber dans une particularité, le sous-ensemble plus-facile-reconnu, qui réduit l'ingénierie et la charge opérationnelle imposées pour mettre à jour le contrôle du trafic peu désiré.

Ce document décrit des configurations de sécurité de la voip basées sur le point de vue méfiant ; ainsi, trafiquez seulement qui est permis dans les segments de réseau voix est laissé. Les stratégies de données tendent à être plus laxistes, comme décrit par des notes dans la configuration de chaque scénario d'application.

Tous les déploiements de stratégie de sécurité doivent suivre un cycle en boucle bloquée de feedback ; de déploiements de la sécurité la capacité d'affect typiquement et la fonctionnalité des applications existantes et doivent être ajustées pour réduire ou résoudre cette incidence.

Pour plus d'informations sur la façon configurer le Pare-feu basé sur zone de stratégie, référez-vous à la conception de Pare-feu de stratégie de Pare-feu Cisco IOS et au guide basés sur zone d'application.

Considérations pour ZFW dans des environnements VoIP

Le guide basé sur zone de conception et d'application de Pare-feu de stratégie de Pare-feu Cisco IOS offre une brève discussion pour sécuriser le routeur avec l'utilisation des stratégies de sécurité à et de la zone de l'individu du routeur, aussi bien que les capacités alternatives qui sont fournies par la diverse protection d'infrastructure réseau (NFP) comporte. des capacités basées sur routeur VoIP sont hébergées dans la zone de l'individu du routeur, ainsi les stratégies de sécurité par lesquelles protégez le routeur doit se rendre compte des conditions requises pour le trafic vocal, afin de faciliter la signalisation et les medias de Voix lancés et destinés au Cisco Unified CallManager Express, au Survivable Remote Site Telephony, et aux ressources en passerelle de Voix. Avant la version de logiciel 12.4(20)T de Cisco IOS, le Pare-feu classique et le Pare-feu basé sur zone de stratégie ne pouvaient pas faciliter entièrement les conditions requises du trafic VoIP, ainsi des stratégies de Pare-feu n'ont pas été optimalisées pour protéger entièrement des ressources. les stratégies de sécurité d'Auto-zone qui protègent les ressources basées sur routeur VoIP se fondent fortement sur des capacités introduites dans 12.4(20)T.

Améliorations de Voix du pare-feu d'IOS ? 12.4(20)T

Le Logiciel Cisco IOS version 12.4(20)T a introduit plusieurs améliorations pour activer le Pare-feu de zone de Co-résident et pour exprimer des capacités. Trois fonctions principales s'appliquent directement aux applications de voix sécurisée :

  • Améliorations de SIP : Passerelle d'Application-couche et inspection et contrôle d'application

    • Support de version de SIP de mises à jour à SIPv2, comme décrit par RFC 3261

    • Élargit la prise en charge de la signalisation de SIP pour identifier une plus grande variété d'écoulements d'appel

    • Introduit l'inspection d'application de SIP et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

    • Développe l'inspection d'auto-zone pour pouvoir identifier les canaux secondaires de signalisation et de medias résultant du trafic de SIP locally-destined/-originated

  • Soutien du trafic local maigre et de CME

    • Support de SCCP de mises à jour à la version 16 (précédemment version prise en charge 9)

    • Introduit l'inspection d'application de SCCP et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

    • Développe l'inspection d'auto-zone pour pouvoir identifier les canaux secondaires de signalisation et de medias résultant du trafic de SCCP locally-destined/-originated

  • H.323 support v3/v4

    • Les mises à jour les prennent en charge H.323 à v3 et à v4 (v1 et v2 précédemment pris en charge)

    • Introduit H.323 l'inspection d'application et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

Les configurations de Sécurité des routeurs décrites dans ce document incluent des capacités offertes par ces améliorations, avec l'explication pour décrire l'action appliquée par les stratégies. Pour les détails complets sur les caractéristiques d'inspection de Voix, référez-vous aux différents documents de caractéristique répertoriés dans la section Informations connexes de ce document

Mises en garde

Afin de renforcer des points cités précédemment, l'application du Pare-feu Cisco IOS avec des capacités basées sur routeur de Voix doit appliquer le Pare-feu basé sur zone de stratégie. Le pare-feu d'IOS classique n'inclut pas la capacité nécessaire pour approuver pleinement les complexités de signalisation et le comportement du trafic vocal.

Traduction d'adresses réseau

Le traduction d'adresses réseau (NAT) de Cisco IOS est fréquemment configuré en même temps que le Pare-feu Cisco IOS, en particulier dans les cas où les réseaux privés doivent se connecter par interface à l'Internet, ou si les réseaux privés disparates doivent se connecter, en particulier si superposer l'espace d'adresse IP est en service. Le logiciel de Cisco IOS inclut les passerelles NAT de couche application (ALGs) pour le SIP, maigre, et H.323. Dans le meilleur des cas, la connexion réseau pour la Voix IP peut être facilitée sans application de NAT, comme NAT introduit la complexité supplémentaire aux applications de dépannage et de stratégie de sécurité, en particulier dans les cas où la surcharge NAT est utilisée. NAT devrait seulement être appliquée comme une dernière solution de cas pour aborder des soucis de connexion réseau.

Client de Cisco Unified Presence

Ce document ne décrit pas les configurations qui prennent en charge l'utilisation du client de Cisco Unified Presence (CUPC) avec le pare-feu d'IOS, car CUPC n'est pas encore pris en charge par zone ou Pare-feu classique en date de la version du logiciel Cisco IOS 12.4(20)T1. CUPC sera pris en charge dans une version future de logiciel de Cisco IOS.

Site unique CME/CUE/GW ou connexion PSTN de branchement

Ce scénario introduit la téléphonie basée sur routeur sécurisée de voix sur IP pour les entreprises petites à moyennes de site unique ou pour de plus grands organismes multisites qui souhaitent déployer le Traitement des appels distribué, mettant à jour les connexions existantes au réseau téléphonique public commuté (PSTN). Le Contrôle d'appel VoIP est facilité par la demande d'un Manager Express d'appel de Cisco Unified.

La connectivité RTPC peut être mise à jour à long terme ou peut être migrée vers un réseau convergé d'étendu IP de Voix-et-données, comme décrit par l'exemple d'application discuté dans le site unique ou la succursale CME/CUE/GW avec le joncteur réseau de SIP à CCM au QG ou à la section de fournisseur de Voix de ce document.

Les organismes devraient envisager de mettre en application ce type de scénario d'application pour des circonstances où des environnements disparates VoIP sont utilisés entre les sites ou si le VoIP est dû irréaliste à la Connectivité insuffisante de données WAN, ou des restrictions de paramètre régional-particularité sur l'utilisation VoIP sur des réseaux de données. Des avantages et les pratiques recommandées de la Téléphonie sur IP de site unique sont décrits dans le Cisco Unified CallManager Express SRND.

Fond de scénario

Le scénario d'application incorpore les téléphones de câble (Voix VLAN), le PC câblé (données VLAN), et les périphériques sans fil (qui incluent des appareils voip tels que l'IP Communicator).

La configuration de sécurité fournit :

  • Routeur-initié signalant l'inspection entre CME et les téléphones locaux (SCCP et/ou SIP)

  • Trous d'épingle de supports vocaux pour la transmission entre :

    • Segments de câble et Sans fil de gens du pays

    • CME et les téléphones locaux pour le MoH

    • CUE et les téléphones locaux pour la messagerie vocale

  • Appliquez-vous l'inspection d'application et le contrôle (AIC) à :

    • Le raté limit invitent des messages

    • Assurez la conformité de protocole sur tout le trafic de SIP.

isr_config_01_108014.gif

Avantages et inconvénients

L'avantage le plus évident de l'aspect VoIP du scénario est le chemin de migration offert en intégrant l'infrastructure existante de voix et de réseau de données dans un environnement existant POTS/TDM, avant le déplacement à une Voix/à réseau de données convergés pour des services téléphoniques au monde au delà du RÉSEAU LOCAL. Des numéros de téléphone sont mis à jour pour de plus petites entreprises, et des centres existants ou ont entretenu peuvent être partis en place pour de plus grands organismes qui désirent une téléphonie étagée de paquet de contournement-contournement de transfert.

Les inconvénients incluent la perte d'économies de coûts qui pourraient être réalisées avec le contournement de contournement par le déplacement à un réseau convergé de Voix-et-données, aussi bien que de limites sur appeler la flexibilité et le manque d'intégration et de portabilité à l'échelle de l'organisation de transmissions qui pourrait être réalisé avec un réseau entièrement convergé de Voix-et-données.

D'un point de vue de Sécurité, ce type d'environnement de réseau réduit des menaces de sécurité de la voip, en évitant l'exposition des ressources VoIP pour le réseau public ou le WAN. Cependant, l'exprès de Cisco Call manager encastré chez le routeur était toujours vulnérable aux menaces internes telles que le trafic malveillant ou le trafic de l'application de défaut de fonctionnement. Ainsi, on met en application la stratégie qui permet le trafic de Voix-particularité qui rencontre les contrôles de conformité de protocole, et les actions spécifiques VoIP (c.-à-d. SIP INVITE) sont limitées afin de réduire la probabilité des défaillances malveillantes ou involontaires de logiciel affectant négativement des ressources et la facilité d'utilisation VoIP.

Stratégies de données, Pare-feu basé sur zone, sécurité voix, et configurations CCME

La configuration décrite ici illustre des 2851 avec une configuration de service vocal pour la Connectivité de CME et de CUE :

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

Configuration basée sur zone de Pare-feu de stratégie, composée de zones de Sécurité pour des segments de câble et Sans fil de RÉSEAU LOCAL, RÉSEAU LOCAL privé (composé de segments de câble et Sans fil), un segment BLÊME public où la connexion Internet non approuvée est atteinte, et la zone d'individu où les ressources en Voix du routeur se trouvent.

/image/gif/paws/108014/isr_config_02_108014.gif

Configuration de la sécurité
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Configuration de routeur entière
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2851-cme2
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com
!
ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1
!
!
ip domain name yourdomain.com
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
voice translation-rule 1
 rule 1 // /1001/
!
!
voice translation-profile default
 translate called 1
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0
!
interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/2/0
!
interface FastEthernet0/2/1
!
interface FastEthernet0/2/2
!
interface FastEthernet0/2/3
!
interface Vlan1
 ip address 198.41.9.15 255.255.255.0
!
router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui
!
!
ip nat inside source list 111 interface GigabitEthernet0/0 overload
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any
!
!
!
!
!
!
tftp-server flash:/phone/7940-7960/P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/P00308000400.sbn alias P00308000400.sbn
!
control-plane
!
!
!
voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable
!
voice-port 0/0/1
 description FXO
!
voice-port 0/1/0
 description FXS
!
voice-port 0/1/1
 description FXS
!
!
!
!
!
dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10
!
dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register
!
!
!
!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!
!
ephone-dn  1
 number 1001
 trunk A0
!
!
ephone-dn  2
 number 1002
!
!
ephone-dn  3
 number 3035452366
 label 2366
 trunk A0
!
!
ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3
!
!
!
ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3
!
!
!
ephone  5
 device-security-mode none
!
!
!
line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
ntp server 172.16.1.1
end

Ravitaillement, Gestion, et surveillance

Le ravitaillement et la configuration pour les ressources basées sur routeur en Téléphonie sur IP et le Pare-feu basé sur zone de stratégie est généralement meilleur facilités avec le Cisco Configuration Professional. Le gestionnaire de CiscoSecure ne prend en charge pas le Pare-feu basé sur zone de stratégie ou la Téléphonie sur IP basée sur routeur.

Le Pare-feu classique de Cisco IOS prend en charge la surveillance SNMP avec le MIB de Pare-feu de Cisco Unified. Cependant, le Pare-feu basé sur zone de stratégie n'est pas encore pris en charge dans le MIB unifié de Pare-feu. En soi, la surveillance de Pare-feu doit être manipulée par l'intermédiaire des statistiques sur l'interface de ligne de commande du routeur, ou avec des outils GUI tels que le Cisco Configuration Professional.

La prise en charge de base d'offres de surveillance et de système de rapports de CiscoSecure (CS-MARS) pour le Pare-feu basé sur zone de stratégie, bien que se connectant les modifications qui ont amélioré la corrélation de log-message pour trafiquer qui ont été mis en application dans 12.4(15)T4/T5 et 12.4(20)T encore n'ont pas été entièrement prises en charge dans CS-MARS.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Le Pare-feu de zone de Cisco IOS fournit des commandes d'exposition et de débogage de visualiser, surveiller, et dépanner l'activité du Pare-feu. Cette section fournit une introduction aux commandes de débogage de Pare-feu de zone qui fournissent l'information de dépannage détaillée.

Commandes de débogage

Les commandes de debug sont utiles au cas où vous utiliseriez une configuration atypique ou sans support et devez fonctionner avec Cisco TAC ou les Services de soutien technique des autres produits pour résoudre des problèmes d'interopérabilité.

Remarque: L'application des commandes de débogage aux capacités spécifiques ou le trafic peut entraîner un très grand nombre de messages console, qui font devenir la console du routeur insensible. Dans même le ce vous devez activer l'élimination des imperfections, vous pourriez vouloir prévoir l'accès alternatif d'interface de ligne de commande, tel qu'une fenêtre de telnet qui ne fait pas surveillent le dialogue terminal. Vous devriez seulement activer mettez au point sur le matériel hors ligne (d'environnement de travaux pratiques) ou pendant une fenêtre de maintenance prévue, comme en activant mettez au point pourrait sensiblement affecter la représentation de routeur.


Informations connexes


Document ID: 108014