セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ゾーンはファイアウォールを基づかせていました: 接続が付いている Cisco Unity Express/SRST/PSTN ゲートウェイが付いているオフィスは Cisco CallManager を中心にしました

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco 統合サービス ルータ(ISRs)は広い応用範囲のデータおよびボイス ネットワーク要件を処理するために拡張が容易なプラットフォームを提供します。 私用およびインターネットに接続されたネットワークの脅威状況が非常に動的環境であるが、Cisco IOSか。 ビジネス機能および継続をイネーブルにしている間ファイアウォール提供ステートフル点検およびセキュア ネットワーク ポスチャを定義し、実施するアプリケーション点検および制御(AIC)機能。

この文書は Cisco 特定の ISR ベースのデータおよび音声アプリケーション シナリオのファイアウォール セキュリティ面に関する設計および設定問題を記述したものです。 音声サービスのための設定およびファイアウォールは各アプリケーション シナリオに提供されます。 各シナリオは全体のルータ設定によって VoIP およびセキュリティとコンフィギュレーションを、そして別々に説明します。 あなたのネットワークは QoS および VPN のようなサービスのために他の設定が音声クオリティおよび機密性を維持するように要求できます。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

Cisco IOS ファイアウォール バックグラウンド

Cisco IOS ファイアウォールは電気器具ファイアウォールの配置モデルと異なるアプリケーション シナリオで普通展開されます。 典型的な配置は在宅勤務者アプリケーションが、小型かブランチ オフィス サイトおよびマルチプル サービスの低いデバイス カウント、統合、および低性能およびセキュリティ機能深さが望まれるリテール アプリケーション含まれています。

ISR プロダクトの他の統合サービスと共にファイアウォール点検のアプリケーションが、コストおよび操作上見通しから魅力的なようであることができる間、ルータ・ベース ファイアウォールが適切だったかどうか確認するために特定の考察は評価する必要があります。 各々の付加的な機能のアプリケーションは動力不足の統合されたルータ・ベース ソリューションが展開される場合メモリおよび加工費を負い、ピーク負荷の期間の間に機能機能のスループット レート、高められたパケット レイテンシーおよび損失を転送することを減らされるに多分貢献します。 ルータと電気器具の間で決定するときこれらのガイドラインを観察して下さい:

  • 複数の統合された機能がイネーブルの状態でルータはより少ないデバイスがよりよいソリューションを提供するブランチ オフィスまたは在宅勤務者サイトに最も適しています

  • 電気器具と対応する高帯域幅の、高性能アプリケーションは普通よりよいです。 ルータは QoS ポリシー アプリケーション、WAN 終了およびサイト間の VPN 接続要件を処理するが Cisco ASA および Cisco によって統一されるコール マネージャ サーバは NAT およびセキュリティ ポリシー アプリケーションおよび呼処理を処理するために加える必要があります。

Cisco IOS ソフトウェア リリース 12.4(20)T の導入前に、古典的なファイアウォールがおよびゾーン ベースのポリシー ファイアウォール(ZFW)は展開 VoIP シグナリングおよびメディア プロトコルの音声トラフィックおよび提供された限られたサポートを収容するために VoIP トラフィックおよびルータ・ベース音声サービスに必要な機能および別の方法でセキュア ファイアウォール ポリシーの要求された大きい開始をフルサポートすることができませんでした。

設定例

Cisco IOS ゾーン ベースのポリシー ファイアウォールの配置

Cisco IOS 他のファイアウォールと同じようなゾーン ベースのポリシー ファイアウォールはセキュリティ ポリシーによって識別され、記述されているネットワーク trustingare のセキュリティ要件セキュア ファイアウォールしか提供なできます。 セキュリティ ポリシーで着く 2 つの基本的なアプローチがあります: 疑った見通しに対する見通し。

信頼見通しはすべてのトラフィックが信頼できる、但し例外としては悪意のあるか不必要ようにとりわけ識別することができることを仮定します。 特定のポリシーは不必要なトラフィックだけ拒否すること設定されています。 これは使用特定のアクセス制御エントリ、またはシグニチャまたは動作ベースのツールを通して普通堪能です。 このアプローチは現われると同時に既存のアプリケーションとより少なく干渉しがちですが脅威および脆弱性状況の広範囲の知識を必要とし、一定した警戒を新しい脅威および不正利用をアドレス指定するように要求します。 さらに、ユーザー コミュニティは十分なセキュリティの維持の大きい役割を果す必要があります。 占有者のための少し制御を用いる広い自由を可能にする環境は不注意なか悪意のある個人が引き起こす問題のための相当な機会を提供します。 このアプローチの付加的な問題はすべてのネットワーク トラフィックの疑わしいデータをモニタおよび制御十分な柔軟性およびパフォーマンスを提供するアプリケーション制御および有効な管理ツールに大いにもっと頼ることです。 これを収容するためにテクノロジーが現在利用できている間、操作上重荷は頻繁にほとんどの組織の限界を超過します。

疑った見通しはすべてのネットワーク トラフィックがとりわけ識別されたよいトラフィックを除いて望ましくない、ことを仮定します。 これは適用するポリシーですすべてのアプリケーション トラフィックを拒否する但し例外としては明示的に割り当てられる。 さらに、アプリケーション点検および制御(AIC)はよいアプリケーションを不正利用するためにとりわけ制作される悪意のあるトラフィックを、またよいトラフィックを装っている不必要なトラフィックを識別し、拒否するために設定することができます。 再度、アプリケーション制御は操作上を課し、ほとんどの望ましくないトラフィックがアクセス制御リスト(ACL)またはゾーン ベースのポリシー ファイアウォール(ZFW)ポリシーのような無国籍フィルタによって制御する必要があるがネットワークのパフォーマンス重荷はそうそこに AIC、不正侵入防止システム(IPS)、適用範囲が広いパケット一致(FPM)またはネットワーク ベース アプリケーション認識(NBAR)のような他のシグニチャ ベースの制御によって処理する大幅により少ないトラフィックであるはずです。 従って、既知制御接続かセッションから起こる望ましいアプリケーション ポートおよびダイナミック メディア対応トラフィックだけとりわけ、細目に、望ましくないトラフィックの制御を保持するために課される技術および操作上重荷を減らす、より多くの容易確認されたサブセット下るネットワークにあるはずである唯一の不必要なトラフィック許可されます必要がある。

この文書は疑った見通しに基づいて VoIP セキュリティとコンフィギュレーションを説明したものです; 従って、音声ネットワーク セグメントで許されているトラフィックだけ許可されます。 データ ポリシーは各アプリケーション シナリオの設定で注記によって記述されているように任意、でありがちです。

すべてのセキュリティ ポリシー配置はクローズドループ フィードバック サイクルに従う必要があります; セキュリティ配置は普通既存のアプリケーションの機能および機能性に影響を与え、この影響を最小限に抑えるか、または解決するために調節する必要があります。

ゾーン ベースのポリシー ファイアウォールの設定用のおよび付加的なバックグラウンド詳細についてはゾーン ベースのポリシー ファイアウォール設計および塗布ガイドを参照して下さい。

VoIP 環境の ZFW に関する問題

前に述べられた設計およびアプリケーション ガイドはルータの自己ゾーンに出入してセキュリティ ポリシーの使用を用いるルータのセキュリティ用の簡潔な議論を提供します、またさまざまなネットワーク基礎保護(NFP)によって提供される代替機能は特色になります。 ルータ・ベース VoIP 機能はルータの自己ゾーンの内で、そうルータを音声トラフィックのための要件に気づく必要がある音声シグナリングを収容するために保護し、起きた、Cisco に向かうメディアが CallManager Express、生存可能なリモート サイト テレフォニーおよび音声ゲートウェイ リソースを統一したセキュリティ ポリシー ホストされます。 Cisco IOS ソフトウェア リリース 12.4(20)T 前に、古典的なファイアウォールおよびゾーン ベースのポリシー ファイアウォールは十分に VoIP トラフィックの要件を収容することができませんでした完全にリソースを保護するために従ってファイアウォール ポリシーは最適化されませんでした。 ルータ・ベース VoIP リソースを保護する自己ゾーン セキュリティ ポリシーは Cisco IOS ソフトウェア リリース 12.4(20)T でもたらされる機能にとても依存します。

Cisco IOS ファイアウォール声の素性

Cisco IOS ソフトウェア リリース 12.4(20)T 共存するゾーン ファイアウォールおよび音声機能をイネーブルにするために複数の機能拡張をもたらしました。 3 つの主な特長は音声アプリケーションを保証するために直接適用されます:

  • SIP 機能拡張: アプリケーション層ゲートウェイおよびアプリケーション点検および制御

    • RFC 3261 によって記述されている SIPv2 へのアップデート SIP バージョン サポート、

    • SIP 通信支援をコール フローの多種多様を確認するために広げます

    • SIP アプリケーション点検および制御(AIC)を粒状制御を特定のアプリケーション・レベル脆弱性および不正利用をアドレス指定するために適用するようにもたらします

    • 自己ゾーン点検をセカンダリ シグナリングを確認ことできるために拡張し、メディアはローカル運命起こされた SIP トラフィックに起因をチャネリングします

  • Skinny 市内トラヒックおよび Cisco CallManager Express のためのサポート

    • バージョン 16 (以前サポートされていたバージョン 9)へのアップデート SCCP サポート

    • SCCP アプリケーション点検および制御(AIC)を粒状制御を特定のアプリケーション・レベル脆弱性および不正利用をアドレス指定するために適用するようにもたらします

    • 自己ゾーン点検をセカンダリ シグナリングを確認ことできるために拡張し、メディアはローカル運命起こされた SCCP トラフィックに起因をチャネリングします

  • H.323 v3/v4 サポート

    • 記述されている v3 および v4 へのアップデート H.323 サポート(以前サポートされていた v1 および v2)、

    • H.323 アプリケーション点検および制御(AIC)を粒状制御を特定のアプリケーション・レベル脆弱性および不正利用をアドレス指定するために適用するようにもたらします

この文書に説明があるルータ セキュリティとコンフィギュレーションはポリシーによって適用されるアクションを記述するために説明を含むこれらの機能拡張によって、提供される機能が含まれています。 個々の機能文書へのハイパーリンクは音声点検機能のための完全な細部を検討したい場合、この文書の終わりに関連情報セクションで利用できます。

警告

ルータ・ベース音声機能の Cisco IOS ファイアウォールのアプリケーションは前に述べられたポイントを補強するためにゾーン ベースのポリシー ファイアウォールを加える必要があります。 古典的な IOS ファイアウォールは音声トラフィックのシグナリング複雑な状況および動作をフルサポートするために必要な機能が含まれていません。

NAT

特に IP アドレス スペースとオーバーラップすることが使用中なら特に私用ネットワークがインターネットとインターフェイス接続する必要があればまたは全く異種私用ネットワークが接続する必要があれば、Cisco IOS ネットワーク・アドレス変換(NAT)は Cisco IOS ファイアウォールと同時に頻繁に設定されます。 Cisco IOS ソフトウェアは SIP、Skinny および H.323 のための NAT 適用業務層ゲートウェイ(ALGs)が含まれています。 理想的には、IP 音声のためのネットワーク接続は NAT のアプリケーションなしで特に NAT 過負荷が使用されれば NAT がトラブルシューティングおよびセキュリティ ポリシー アプリケーションに複雑な状況をその上にもたらすので収容することができます。 ネットワーク接続心配をアドレス指定するためにだけ NAT はように最後のケース ソリューション適用する必要があります。

CUPC

この文書は CUPC が Cisco IOS ソフトウェア リリース 12.4(20)T1 現在でゾーンか古典的なファイアウォールによってまだサポートされていないので、Cisco の使用を統一した Cisco IOS ファイアウォールを持つ存在クライアント(CUPC)をサポートする設定を説明しないものです。 CUPC は Cisco IOS ソフトウェアの未来のリリースでサポートされます。

接続する Cisco Unity Express/SRST/PSTN ゲートウェイが付いているオフィスは Cisco CallManager を中心にしました

このシナリオは前のアプリケーションと分散ルータ・ベース呼処理かわりに中央集中型コール制御がすべてのコール制御のために使用されること、異なります。 分散音声メールは適用する、しかしルータの throughCisco Unity Express であり。 ルータは緊急ダイヤルおよびローカル ダイヤルに生存可能なリモート サイト テレフォニーおよび PSTN ゲートウェイ機能性を提供します。 PSTN キャパシティのアプリケーション特有のレベルはダイヤル計画によって記述されているように、またローカル・エリア ダイヤルを収容するためにダイヤルする WAN ベース通行料バイパスの障害推奨されます。 さらに、地方特有の法は普通緊急(911 基の)ダイヤルを収容するために種類のローカル PSTN 接続が提供されるように要求します。

このシナリオはまた SRST のための呼処理エージェントとしてより大きい呼処理機能が WAN/CCM 停止の間に要求されれば Cisco CallManager Express を適用できます。 Cisco が付いている Cisco Unity 接続を統合することを統一しました詳細については CME ようにSRST 参照して下さい。

シナリオ バックグラウンド

アプリケーション シナリオは配線された電話(音声 VLAN)、配線された PC (データ VLAN)、および無線デバイスを統合します(IP 伝達者のようなを含む VoIP デバイス)。

  1. 点検にローカル電話とリモート CUCM の間で信号を送ってクラスタ化して下さい(SCCP および SIP)

  2. ルータとリモート CUCM クラスタ間の H.323 シグナリングを点検して下さい。

  3. リモート サイトへのリンクがダウンし、SRST が活発であるときローカル電話とルータ間のシグナリングを点検して下さい。

  4. その間コミュニケーションのための音声メディア ピンホール:

    1. ローカル配線されたワイヤレス セグメント

    2. ローカルおよびリモート電話

    3. MoH リモート サーバおよびローカル電話

    4. 音声メールのための Unity リモート サーバおよびローカル電話

  5. アプリケーション点検および制御(AIC)をに適用して下さい:

    1. レート限界はメッセージを誘います

    2. すべての SIP トラフィックのプロトコル一致を保証して下さい。

iosfw-cue-cucm-01.gif

利点/不利な点

このシナリオは呼処理の大半が減らされた管理重荷を提供する中央 Cisco CallManager クラスタで行われること利点を提供します。 ルータは WAN または CUCM 停止がある、Cisco ローカル CallManager Express/SRST はアドレス呼出し処理への効果に呼出されますとき呼処理重荷の大半がルータに、Cisco Unity Express に出入する処理トラフィックを除いて、およびケースで課されないので普通この文書に説明がある他のケースと比べてより少なくローカル音声リソース点検重荷をアドレス指定しなければならない必要があり。

このケースの最も大きい欠点は、典型的な呼処理アクティビティの間に、Cisco Unity Express がローカル ルータにあることです。 これが設計見通しからよい、たとえば間、管理するべき多数の Cisco Unity Express がある場合もあること Cisco Unity Express は音声メールが保持されるエンドユーザに、それ負います付加的な管理重荷を、最も密接にあります。 それの反対欠点を、運ぶために中央 Cisco Unity Express と、中央 Cisco Unity Express リモート ユーザーからより遠く、多分停止の間にアクセスが不可能です。 従って、遠隔地に Cisco Unity Express の配置による分散音声メール提供の機能利点は優秀な選択を提供します。

データ ポリシーのための設定、ゾーン ベースのファイアウォール、音声セキュリティ、Cisco CallManager Express

ルータ設定は NME-X-23ES および PRI HWIC との 3845 に基づいています:

SRST および Cisco Unity Express 接続のための音声サービス設定:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

これは信頼された WAN 接続が達する、およびルータの音声リソースが見つけられる自己ゾーンは配線されたワイヤレス セグメントでですところに配線されたワイヤレス LAN セグメントのためのセキュリティ ゾーンで、構成される私用 LAN 構成される、ゾーン ベースのポリシー ファイアウォール設定の eample、WAN セグメント:

/image/gif/paws/108012/iosfw-cue-cucm-02.gif

セキュリティとコンフィギュレーション:

class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 3825-srst
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
ip cef
!
!
ip domain name cisco.com
ip name-server 172.16.1.22
ip vrf acctg
 rd 0:1
!
ip vrf eng
 rd 0:2
!
ip inspect WAAS enable
!
no ipv6 cef
multilink bundle-name authenticated
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
!
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security vpn
zone security eng
zone security acctg
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
!
interface Loopback101
 ip vrf forwarding acctg
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface Loopback102
 ip vrf forwarding eng
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.109
 encapsulation dot1Q 109
 ip address 172.16.109.11 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 zone-member security public
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1.129
 encapsulation dot1Q 129
 ip address 172.17.109.2 255.255.255.0
 standby 1 ip 172.17.109.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 track GigabitEthernet0/0.109
!
interface GigabitEthernet0/1.149
 encapsulation dot1Q 149
 ip address 192.168.109.2 255.255.255.0
 ip wccp 61 redirect in
 ip wccp 62 redirect out
 ip nat inside
 ip virtual-reassembly
 zone-member security private
!
interface GigabitEthernet0/1.161
 encapsulation dot1Q 161
 ip vrf forwarding acctg
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface GigabitEthernet0/1.162
 encapsulation dot1Q 162
 ip vrf forwarding eng
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface Serial0/3/0
 no ip address
 encapsulation frame-relay
 shutdown
 frame-relay lmi-type cisco
!
interface Serial0/3/0.1 point-to-point
 ip vrf forwarding acctg
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 321 IETF
!
interface Serial0/3/0.2 point-to-point
 ip vrf forwarding eng
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 322 IETF
!
interface Integrated-Service-Engine2/0
 no ip address
 shutdown
 no keepalive
!
interface GigabitEthernet3/0
 no ip address
 shutdown
!
router eigrp 1
 network 172.16.109.0 0.0.0.255
 network 172.17.109.0 0.0.0.255
 no auto-summary
!
router eigrp 104
 network 10.1.104.0 0.0.0.255
 network 192.168.109.0
 network 192.168.209.0
 no auto-summary
!
router bgp 1109
 bgp log-neighbor-changes
 neighbor 172.17.109.4 remote-as 1109
 !
 address-family ipv4
  neighbor 172.17.109.4 activate
  no auto-summary
  no synchronization
  network 172.17.109.0 mask 255.255.255.0
 exit-address-family
!
ip forward-protocol nd
ip route vrf acctg 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf acctg 10.1.2.0 255.255.255.0 10.255.1.2
ip route vrf eng 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf eng 10.1.2.0 255.255.255.0 10.255.1.2
!
!
ip http server
no ip http secure-server
ip nat pool acctg-nat-pool 172.16.109.21 172.16.109.22 netmask 255.255.255.0
ip nat pool eng-nat-pool 172.16.109.24 172.16.109.24 netmask 255.255.255.0
ip nat inside source list 109 interface GigabitEthernet0/0.109 overload
ip nat inside source list acctg-nat-list pool acctg-nat-pool vrf acctg overload
ip nat inside source list eng-nat-list pool eng-nat-pool vrf eng overload
ip nat inside source static 172.17.109.12 172.16.109.12 extendable
!
ip access-list extended acctg-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended eng-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
!
logging 172.16.1.20
access-list 1 permit any
access-list 109 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 109 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
access-list 141 permit ip 10.0.0.0 0.255.255.255 any
access-list 171 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
gateway
 timer receive-rtp 1200
!
!
alias exec sh-sess show policy-map type inspect zone-pair sessions
!
line con 0
 exec-timeout 0 0
line aux 0
line 130
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line 194
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
 password cisco
 login
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

プロビジョニング、管理およびモニタリング

Cisco 設定専門家と収容されるルータ・ベース IP テレフォニー リソースおよびゾーン ベースのポリシー ファイアウォール両方のためのプロビジョニングおよび設定は一般に最もよいです。 CiscoSecure マネージャはゾーン ベースのポリシー ファイアウォールかルータ・ベース IP テレフォニーをサポートしません。

Cisco IOS 古典的なファイアウォールは Cisco によって統一されるファイアウォール MIB との SNMP モニタリングをサポートします。 しかし、ゾーン ベースのポリシー ファイアウォールは統一されたファイアウォール MIB でまだサポートされていません。 そのように、ファイアウォール モニタリングはルータの、または Cisco 設定専門家のような GUI ツールが付いているコマンドライン インターフェースの統計情報によって処理する必要があります。

トラフィックにログ メッセージ相関関係を改善した CS-MARS の記録変更が Cisco IOS ソフトウェア リリース 12.4(15)T4/T5 および Cisco IOS でソフトウェア リリース 12.4(20)T 設定されたまだフル・サポートが、ゾーン ベースのポリシー ファイアウォールのための CiscoSecure モニタリングおよび報告制度(CS-MARS)提供基本的なサポート。

容量計画

ファイアウォール コール点検性能試験はインド TBD に起因します。

確認事項

現在この設定用の利用可能な確認手順がありません。

トラブルシューティング

このセクションはあなたの設定をトラブルシューティングするのに使用できる情報を提供します。

Cisco IOS ゾーン ファイアウォールは示しますデバッグ・コマンド ファイアウォールのアクティビティを表示し、監視し、解決するために提供し。 このセクションはテクニカル サポートとの議論が詳細情報を要求する場合提示の使用を命じますより詳しいトラブルシューティングのためのゾーン ファイアウォールのデバッグ・コマンドに基本的なファイアウォール アクティビティおよび導入を監視するためにまたは記述します。

コマンドのトラブルシューティング

出力インタプリタ ツール登録されていた顧客だけ) (OIT)サポートはコマンドを確認しているが。 分析をの表示するのに OIT を示しますコマンド出力を使用して下さい。

注: デバッグ・コマンドを使用する前にデバッグ・コマンドの重要な情報を参照して下さい。

コマンドを示して下さい

Cisco IOS ファイアウォールは複数を示しますセキュリティ ポリシー設定およびアクティビティを表示するためにコマンドを提供します:

これらのコマンドの多数はエイリアス コマンドのアプリケーションによるより短いコマンドで取り替えることができます。

デバッグ・コマンド

デバッグ・コマンドは非定型か支えられていない設定を役立ちます使用すれば、インターオペラビリティ問題を解決するために Cisco TAC か他のプロダクトのテクニカル サポート サービスを使用する必要があります。

注: ルータ コンソールが無理解になりますトラフィック非常に多くの操作卓メッセージを引き起こす場合がありますか特定の機能へのデバッグ・コマンドのアプリケーションは。 デバッグを有効にする必要があれば監視しないターミナル ダイアログを telnet ウィンドウのような代替コマンドライン インターフェース アクセスを、提供することは可能です。 デバッグをイネーブルにするときだけ、これが大幅にルータ パフォーマンスに影響を及ぼす場合があるのでオフ・ライン(ラボ環境)機器のまたは計画保全ウィンドウの間のデバッグをイネーブルにする必要があります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 108012