セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX での nat、global、static、conduit、および access-list の各コマンドとポート リダイレクション(フォワーディング)の使用方法

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 7 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Secure PIX Firewall を実装した際のセキュリティを最大にするには、nat、global、static、および conduit の各コマンド、または access-list および access-group の各コマンドをバージョン 5.0 以降の PIX ソフトウェアで使用することによりパケットがセキュリティの高いインターフェイスと低いインターフェイス間を流れるしくみを理解することが重要です。 このドキュメントでは、これらのコマンド間の違い、バージョン 6.0 の PIX ソフトウェアでポート リダイレクション(フォワーディング)を設定する方法、および、バージョン 6.2 の PIX ソフトウェアで追加された外部 Network Address Translation(NAT; ネットワーク アドレス変換)機能について説明しています。

Cisco PIX 500 シリーズ セキュリティ アプライアンス上での基本的な NAT および Port Address Translation(PAT; ポート アドレス変換)設定の詳細については、『PIX/ASA 7.x の NAT と PAT の設定例』を参照してください。

Cisco Secure PIX Firewall での基本的な NAT と PAT の設定例についての詳細は、『Cisco Secure PIX Firewall での NAT と PAT の使用』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure PIX ファイアウォール ソフトウェア バージョン 4.4.5 以上

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク構成図

/image/gif/paws/12496/28b.gif

初期設定

インターフェイスの名前は次のとおりです。

  • nameif ethernet0 outside security0

  • nameif ethernet1 inside security100

アウトバウンド アクセスの許可

アウトバウンド アクセスは、セキュリティ レベルの高いインターフェイスからセキュリティ レベルの低いインターフェイスへの接続を意味します。 これには、inside から outside への接続、inside から非武装地帯(DMZ)への接続、および DMZ から outside への接続が含まれます。 発信元インターフェイスのセキュリティレベルが宛先より高いという条件下では、ある DMZ から別の DMZ への接続もこれに含まれる可能性があります。 このことは PIX の「nameif」設定を調べることによって確認できます。

発信アクセスを許可するために必要となる 2 つのポリシーがあります。 最初のポリシーは変換方式です。 変換方式は static コマンドを使用したスタティック変換、または nat/global 規則を使用したダイナミック変換のどちらかになります。 アウトバウンド アクセスのもう一方の要件として、Access Control List(ACL; アクセス コントロール リスト)がある場合、特定のプロトコルとポートを使用して発信元ホストが宛先ホストにアクセスできるようにする必要があります。 デフォルトでは、PIX 経由のアウトバウンド接続に対するアクセス制限はありません。 これは、発信元インターフェイスに ACL が設定されていない場合、デフォルトでは、変換方式が設定されていればアウトバウンド接続が可能になることを意味します。

以降の各セクションでは、変換方式の設定と、ACL を使用したアウトバウンド アクセス制限の両方の例を紹介しています。

特定の内部ホストから外部ネットワークへのアクセスの許可

この設定では、サブネット 10.1.6.0/24 上のすべてのホストに外部へのアクセスが付与されます。 これを行うには、nat コマンドと global コマンドを使用します。

  1. NAT に含める内部グループを定義します。

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. NAT 文で定義されるホストが変換される outside インターフェイスのアドレスのプールを規定 して下さい。

    global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
    

これで、内部のホストは外部ネットワークにアクセスできます。 内部のホストは外部へ接続を開始すると、グローバル プールのアドレスに変換されます。 アドレスは、先着順、先に変換される順に、グローバル プール内の一番低いアドレスから割り当てられることに注意してください。 たとえば、ホスト 10.1.6.25 が最初に外部への接続を開始すると、アドレス 175.1.1.3 を受け取ります。 次のホストは 175.1.1.4 を受け取り、順に数が増えていきます。 これは timeout xlate hh によって定義されるように不活動期間以降にスタティック トランスレーションおよび変換時ではないです: mm: ss は命じます。

残りの内部ホストから外部ネットワークへのアクセスの許可

問題は、内部ホストの数が外部アドレスの数より多いことです。 すべてのホストに外部へのアクセスを許可するには、ポート アドレス変換(PAT)を使用します。 global 文の中でアドレスが 1 つ指定されている場合、このアドレスは変換されたポートです。 PIX ではインターフェイスごとに 1 つのポート変換が可能であり、この変換では、単一のグローバル アドレスへのアクティブな xlate オブジェクトが最大で 65,535 個サポートされます。 次の手順を実行します。

  1. PAT に含める内部グループを定義します (0 0 を使用すると、すべての内部ホストが選択されます)。

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. PAT で使用するグローバル アドレスを指定します。

    global (outside) 1 175.1.1.65
    

PAT を使用するときは、次の事項を考慮する必要があります。

  • 別のグローバル アドレス プール内にある IP アドレスは PAT では指定できない。

  • PAT は H.323 アプリケーション、キャッシング ネーム サーバ、および Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)と連携して機能させることはできません。 PAT は、Domain Name Service(DNS)、FTP と受動 FTP、HTTP、メール、Remote-Procedure Call(RPC; リモート プロシージャ コール)、rshell、Telnet、URL フィルタリング、および発信 traceroute とは連携します。

  • マルチメディア アプリケーションをファイアウォールで実行する場合は、PAT を使用しないでください。 マルチメディア アプリケーションは、PAT のポート マッピングと競合する可能性があります。

  • PIX ソフトウェア リリース 4.2(2) では、逆順で着信する IP データ パケットに対しては PAT 機能が働かない。 この問題は、リリース 4.2(3) では修正されています。

  • global コマンドで指定されたグローバル アドレスのプール内の IP アドレスは、すべての外部ネットワーク アドレスを PIX でアクセス可能にするために、DNS 逆エントリを必要とします。 逆 DNS マッピングを作成するには、アドレスとホスト名のマッピング ファイルにある、各グローバル アドレスに対応する DNS Pointer(PTR)レコードを使用します。 PTR エントリがない場合、サイトではインターネット接続が低速または断続的になる可能性があり、FTP 要求では常にエラーが発生します。

    たとえば、グローバル IP アドレスが 175.1.1.3 で PIX ファイアウォールのドメイン名が pix.caguana.com の場合、PTR レコードは次のようになります。

    3.1.1.175.in-addr.arpa. IN PTR 
    pix3.caguana.com 
    4.1.1.175.in-addr.arpa. IN PTR 
    pix4.caguana.com & so on.

内部ホストから DMZ への変換を使用しないアクセスの許可

このドキュメントで前出の設定では、nat コマンドと global コマンドを使用し、内部ホストの発信元アドレスを変換することによって、内部ネットワーク上のホストによる DMZ インターフェイス上のホストへのアクセスを許可しています。しかしながら、そのような変換が望ましくない場合もあります。 ただし、1 つの PIX Firewall インターフェイス上のホストが別のインターフェイス上のホストへの接続を開始する際に、そのホストの IP アドレスを変換するための手段を PIX がそれ自体に備えている必要があります。 IP アドレスを変換する必要がない場合でも、変換は行われる必要があります。 そのため、内部のホストによる DMZ 上のホストへのアクセスを許可するためには、実際には変換を行わない変換を設定する必要があります。

内部ネットワーク 10.1.6.0/24 上のホストが、DMZ ネットワーク 172.22.1.0/24 上のホストにアクセスする必要があると仮定します。

  1. 実際には内部アドレスを変換しないスタティック変換を、内部ネットワーク全体と DMZ の間に作成します。

    static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
    
  2. 実際にはホストのアドレスを変換することなく、1 つの内部ホストによる DMZ へのアクセスを許可するためのスタティック変換を作成します。

    static (inside,dmz) 10.1.6.100 10.1.6.100
    

    注: PIX により 255.255.255.255 のネットマスクが自動的に付加されます。

inside ホストから outside ネットワークへのアクセスの制限

有効な変換方式が発信元ホストに対して定義されており、ACL が発信元 PIX インターフェイスに対して定義されていない場合、デフォルトでアウトバウンド接続が許可されます。 ただし状況によっては、発信元、宛先、プロトコル、ポートのいずれかまたはすべてに基づいたアウトバウンド アクセス制限が必要な場合があります。 そのためには、access-list コマンドで ACL を設定し、access-group コマンドでその ACL を接続発信元の PIX インターフェイスに適用する必要があります。 PIX ACL は、受信方向でのみ適用されます。 ACL は PIX バージョン 5.0.1 以上のコードで使用できます。 以前のコードでは「outbound」と「apply」文を使用していましたが、これらは PIX コマンド リファレンスの中で説明されています。

次の例では、1 つのサブネットに関してはアウトバウンド HTTP アクセスを許可する一方で、他のすべてのホストによる外部への HTTP アクセスを拒否し、それ以外のすべての IP トラフィックをすべての人に対して許可します。

  1. ACL を定義します。

    access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
    

    注: PIX の ACL が Cisco IOS ルータ上の ACL と異なるのは、PIX では Cisco IOS のようにワイルドカード マスクを使用しないという点です。 その代わりに、正規のサブネット マスクを ACL 定義で使用します。 Cisco IOS ルータと同様に、PIX の ACL には暗黙的な「deny all」が ACL の最後に存在します。

  2. ACL を内部インターフェイスに適用します。

    access-group acl_outbound in interface inside
    

信頼できないホストから信頼できるネットワーク上のホストへのアクセスの許可

多くの組織では、信頼できないホストに、信頼できるネットワーク内のリソースへのアクセスを許可する必要があります。一般的な例としては、社内ウェブ サーバがあります。 デフォルトでは、PIX は外部ホストから内部ホストへの接続を拒否します。 この接続を許可するには、static コマンドと conduit コマンドを使用します。 PIX ソフトウェア バージョン 5.0.1 以降では、conduit コマンドだけでなく access-list コマンドと access-group コマンドも使用できます。

コンジットと ACL のどちらも 2 インターフェイス PIX で使用できます。 コンジットは通信方向ベースです。 コンジットには内部と外部の概念があります。 2 インターフェイス PIX では、コンジットを使用すると外部から内部へのトラフィックが可能になります。 コンジットとは異なり、ACL は access-group コマンドでインターフェイスに適用されます。 このコマンドにより ACL がインターフェイスに関連付けられ、特定の方向に流れるトラフィックが検査されます。

内部ホストの外部へのアクセスを可能にする nat コマンドや global コマンドとは対照的に、static コマンドは、適切なコンジットが作成されているか ACL/ グループが追加されていれば、内部ホストの外部アクセス、および外部ホストの内部アクセスを可能にする両方向の変換を作成します(PIX ソフトウェア バージョン 5.0.1 以上)。

このドキュメントで前出の PAT の設定例では、外部ホストからのグローバル アドレスへの接続が試みられると、そのアドレスが多数の内部ホストに使用されてしまう可能性がありました。 static コマンドでは 1 対 1 のマッピングが作成されます。 conduit コマンドまたは access-list コマンドでは内部ホストに許可される接続のタイプが定義され、これはセキュリティ レベルの低いホストが高いホストに接続する場合には常に必要です。 conduit コマンドや access-list コマンドは、ポートとプロトコルの両方に基づくものです。 システム管理者の裁量に応じてアクセスを緩やかに許容したり、逆に厳しく制限したりできます。

このドキュメント内のネットワーク ダイアグラムでは、これらのコマンドを使用して、すべての信頼できないホストが内部 Web サーバに接続でき、この信頼できないホスト 199.199.199.24 が同じマシン上の FTP サービスにアクセスできるように PIX を設定する例を示しています。

PIX バージョン 4.4.5 以降でのコンジットの使用

コンジットを使用する PIX ソフトウェア バージョン 4.4.5 以降で、次の手順を実行します。

  1. 内部ウェブ サーバのアドレスから外部/グローバル アドレスへの static アドレス変換を定義します。

    static (inside,outside) 175.1.1.254 10.200.1.254
    
  2. どのホストがどのポートを使用して Web/FTP サーバに接続できるかを定義します。

    conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
    

PIX ファイアウォール ソフトウェア バージョン 5.0.1 以上では、アクセス グループを持つ ACL をコンジットの代わりに使用できます。 コンジットを使用することもできますが、コンジットと ACL のどちらを使用するかを決定する必要があります。 同じ設定で ACL とコンジットを両方合わせて使用することは推奨できません。 両方を設定した場合、ACL がコンジットよりも優先されます。

PIX バージョン 5.0.1 以降での ACL の使用

PIX ソフトウェア バージョン 5.0.1 以降で、ACL を使用して次の手順を実行します。

  1. 内部ウェブ サーバのアドレスから外部/グローバル アドレスへの static アドレス変換を定義します。

    static (inside, outside) 175.1.1.254 10.200.1.254
    
  2. どのホストがどのポートを使用して Web/FTP サーバに接続できるかを定義します。

    access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
    
  3. アクセスリストを、アクセスグループを使って外部インターフェイスに適用します。

    access-group 101 in interface outside
    

注: これらのコマンドを実装する際には注意が必要です。 conduit permit ip any any または access-list 101 permit ip any any のどちらかのコマンドを実装すると、アクティブな変換設定がある限り、信頼できないネットワーク上の任意のホストが、信頼できるネットワークの任意のホストに IP を使用してアクセスできます。

NAT のディセーブル化

内部ネットワークに共用アドレスが存在し、内部ホストが変換を行わずに外部へアクセスするようにする場合は、NAT をディセーブルにできます。 また static コマンドを変更する必要があります。

このドキュメント内の例を使用すると、nat コマンドは次の出力が示すように変わります。

nat (inside) 0 175.1.1.0 255.255.255.0 

PIX ソフトウェア バージョン 5.0.1 以降で ACL を使用する場合は、次のコマンドを使用します。

access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103

このコマンドは 175.1.1.0 ネットワークの NAT をディセーブルにします。 Web サーバに対する static コマンドは、次の出力に示すように変わります。

static (inside, outside) 175.1.1.254 175.1.1.254

このコマンドでは、Web サーバに対するコンジットが定義されています。

conduit permit tcp host 175.1.1.254 eq www any

PIX ソフトウェア バージョン 5.0.1 以降で ACL を使用する場合は、次のコマンドを使用します。

access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside

ネットワーク/マスクを指定しながら nat 0 を使用する方法と、内部からのみの接続開始を許可するネットワーク/マスクを使用する ACL を使用することの違いに注目してください。 ACL を使用することにより、受信または送信トラフィックによる接続の開始が可能になります。 PIX インターフェイスを別のサブネットに配置して、到達可能性の問題が発生しないようにする必要があります。

static を使用したポート リダイレクション(フォワーディング)

PIX 6.0 では外部ユーザが特定のIPアドレス/ポートに接続し、PIX リダイレクトがあることを可能にするように、ポート Redirection(Forwarding)機能は適切な内部サーバにトラフィック追加されました; static コマンドは修正されました。 共有アドレスを一意のアドレスまたは共有アウトバウンド PAT アドレスにしたり、外部インターフェイスと共有させることができます。

注: これらの 2 行のコマンドは記入制限を表示しています。

static [(internal_if_name, external_if_name)] 
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit 
[norandomseq]]]
static [(internal_if_name, external_if_name)] {tcp|udp} 
{global_ip|interface} 
global_port local_ip local_port [netmask mask] [max_conns 
[emb_limit [norandomseq]]]

この例のネットワークでのポート リダイレクションは次のようになります。

  • 外部ユーザは Telnet 要求を一意の IP アドレス 172.18.124.99 に送り、PIX はこれを 10.1.1.6 にリダイレクトする。

  • 外部ユーザは FTP 要求を一意の IP アドレス 172.18.124.99 に送り、PIX はこれを 10.1.1.3 にリダイレクトする。

  • 外部ユーザは Telnet 要求を PAT アドレス 172.18.124.208 に送り、PIX はこれを 10.1.1.4 にリダイレクトする。

  • 外部ユーザは Telnet 要求を PIX Outside IP アドレス 172.18.124.216 に送り、PIX はこれを 10.1.1.5 にリダイレクトする。

  • 外部ユーザは HTTP 要求を PIX 外部 IP アドレス 172.18.124.216 に送り、PIX はこれを 10.1.1.5 にリダイレクトする。

  • 外部ユーザは HTTP ポート 8080 要求を PAT アドレス 172.18.124.208 に送り、PIX はこれを 10.1.1.7 のポート 80 にリダイレクトする。

この例はまた ACL 100 との何人かのユーザー アクセスを内部から外部へブロックします。 この手順はオプションです。 ACL を設定しなければ、すべてのトラフィックは発信が許可されます。

ネットワーク ダイアグラム:ポート リダイレクション(フォワーディング)

/image/gif/paws/12496/28-02.gif

PIX 設定の抜粋:ポート リダイレクション(フォワーディング)

次に抜粋した設定は、スタティック ポート リダイレクションの使用方法の例を示します。

PIX 設定の抜粋:ポート リダイレクション(フォワーディング)
fixup protocol ftp 21

!--- Use of an outbound ACL is optional.

access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain 

access-list 101 permit tcp any host 172.18.124.99 eq telnet 
access-list 101 permit tcp any host 172.18.124.99 eq ftp 
access-list 101 permit tcp any host 172.18.124.208 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq www 
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 
   www netmask 255.255.255.255 0 0

!--- Use of an outbound ACL is optional.

access-group 100 in interface inside
access-group 101 in interface outside

NATの外部

PIX 6.2 以降では、外部(またはセキュリティの低い)インターフェイスから内部(またはセキュリティの高い)インターフェイスへのトラフィックに NAT と PAT を適用できます。 このことを「双方向 NAT」と呼ぶ場合があります。

外部 NAT/PAT は内部 NAT/PAT に似ていますが、アドレス変換は、PIX の外側の(セキュリティの低い)インターフェイス上に存在するホストのアドレスに適用されます。 ダイナミック外部 NAT を設定するためには、セキュリティの低いインターフェイス上の変換対象アドレスと、グローバル アドレスまたは内部(セキュリティの高い)インターフェイス上のアドレスを指定します。 スタティック外部 NAT を設定するためには、static コマンドを使用して 1 対 1 マッピングを指定します。

外部 NAT が設定された後、パケットが PIX の(セキュアでない)外部インターフェイスに到着すると、PIX は接続データベースに既存の xlate(アドレス変換エントリ)を探そうとします。 xlate が存在しなければ、PIX は実行コンフィギュレーションから NAT ポリシーを検索します。 NAT ポリシーが見つかると、xlate が作成され、データベースに挿入されます。 すると PIX は、マップされたアドレスまたはグローバル アドレスの送信元アドレスに再書き込みをし、内部インターフェイス上でパケットを送信します。 xlate が確立されると、これ以降のパケットのアドレスは、接続データベースのエントリを参照しながら迅速に変換されます。

ネットワークダイアグラム- NAT外部

/image/gif/paws/12496/28-01.gif

次の例を参照してください。

  • 発信時はデバイス 10.100.1.2 から NAT 経由で 209.165.202.135 へ。

  • 着信時はデバイス 209.165.202.129 から NAT 経由で 10.100.1.3 へ。

  • 発信時、10.100.1.x ネットワーク上の他のデバイスは、NAT 経由で 209.165.202.140-209.165.202.141 プール内のアドレスへ。

  • デバイス 209.165.202.129 からデバイス 10.100.1.2 への接続(デバイス 209.165.202.129 が内部デバイスを 209.165.202.135 とみなし、デバイス 10.100.1.2 が(外部 NAT のために)209.165.202.129 からのトラフィックを 10.100.1.3 からの発信とみなす)

ACL またはコンジットを使用するすべての 209.165.202.x デバイスへのアクセスが許可されます。

PIX 部分設定 - NAT外部

PIX 部分設定 - NAT外部
ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

!--- Or in lieu of conduits, we leave the static statements but have the following.
 
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • 設定済みの変換をテストするために ICMP PING を使用すると、PING が失敗し、トランスレーションが正しく機能していないかのように思われる場合があります。 PIX ではデフォルトで、セキュリティが低いインターフェイスからセキュリティが高いインターフェイスへの ICMP メッセージがブロックされます。 これは、内部から開始された PING への返答がエコー応答である場合にも発生します。 したがって、設定を確認する目的には必ず、Telnet などの別の方法を使用してください。

  • PIX 上で変換規則に何らかの変更を行った後は、clear xlate コマンドを発行することを強く推奨します。 これにより、いっさいの古い変換が新しく設定された変換に干渉せず、新しい変換の正確な動作を妨げないことが保証されます。

  • 内部または DMZ 上のサーバと外部サーバの間のスタティック変換の設定や変更を行うと、ゲートウェイ ルータまたはその他のネクストホップ デバイスの ARP キャッシュの消去が必要になる場合があります。

TAC のサービス リクエストをオープンする場合に収集しておく情報

上記のトラブルシューティング手順を実行した後も、依然としてサポートが必要で、Cisco TAC でサービスリクエストをオープンする必要がある場合は、PIX ファイアウォールのトラブルシューティングに必要な次の情報を必ず収集してください。
  • 問題の説明と関連するトポロジの詳細
  • サービスリクエストをオープンする前のトラブルシューティング
  • show tech-support コマンドの出力
  • logging buffered debugging コマンドを実行した後の show log コマンドの出力、または問題を示すコンソール キャプチャ(利用可能な場合)
収集したデータは、圧縮しないプレーン テキスト形式(.txt)でサービス リクエストに添付してください。 情報をサービス リクエストに添付するには、TAC Service Request Tool登録ユーザ専用)を使用してアップロードします。 TAC Service Request Tool にアクセスできない場合は、情報を電子メールの添付ファイルとし、メッセージの件名にサービス リクエスト番号を付けて attach@cisco.com 宛てに送信してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12496