Seguridad : Firewall Cisco IOS

El Cisco IOS divide el Firewall en zonas basado: Oficina con el gateway del Cisco Unity Express/SRST/PSTN con la conexión al Cisco CallManager centralizado

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El Routers del servicio integrado de Cisco (ISR) ofrece una plataforma escalable para dirigir los requisitos de los datos y de la red de voz para una amplia gama de aplicaciones. Aunque el paisaje de la amenaza de las redes privadas y Internet-conectadas sea mismo un entorno dinámico, el Firewall del½ del¿Â del Cisco IOSï ofrece la inspección con estado y las capacidades de la Inspección de la aplicación y del control (AIC) para definir y para aplicar una postura segura de la red, mientras que habilita la capacidad del negocio y la continuidad.

Este documento describe el diseño y las consideraciones de configuración para los aspectos de seguridad del Firewall de los datos y de los escenarios ISR-basados Cisco específicos de la aplicación de voz. La configuración para los servicios de voz y el Firewall se proporcionan para cada escenario de la aplicación. Cada escenario describe el VoIP y las Configuraciones de seguridad por separado, entonces por la configuración del router entera. Su red puede requerir la otra configuración para los servicios tales como QoS y VPN mantener la Calidad de voz y la confidencialidad.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Fondo del Firewall Cisco IOS

El Firewall Cisco IOS se despliega típicamente en los escenarios de la aplicación que diferencian de los modelos de despliegue de los Firewall del dispositivo. Las instalaciones típicas incluyen las aplicaciones del teletrabajador, los sitios pequeños o de la sucursal, y las aplicaciones al por menor, donde la cuenta baja del dispositivo, la integración de los servicios múltiples, y la profundidad del menor rendimiento y de la capacidad de seguridad se desea.

Mientras que la aplicación del examen del Firewall, junto con otros Servicios integrados en los Productos ISR, puede aparecer atractiva del coste y de la perspectiva operativa, las consideraciones específicas se deben evaluar para determinar si un Firewall basado en el router es apropiado. La aplicación de cada característica adicional incurre en la memoria y los costos de procesamiento, y contribuye probablemente a los índices reducidos del rendimiento de reenvío, a la latencia del paquete creciente, y a la pérdida de capacidad de las características durante los períodos de carga pico si se despliega una solución basada en el router integrada inframotorizada. Observe estas guías de consulta cuando usted decide entre un router y un dispositivo:

  • El router con las características integradas múltiples habilitadas es más adecuado para la sucursal o los emplazamientos de trabajador telecomunicado en donde menos dispositivos ofrecen una mejor solución

  • El ancho de banda alto, las aplicaciones de alto rendimiento es típicamente mejor dirigido con los dispositivos. Cisco ASA y Cisco unificaron al servidor de administración de la llamada se deben aplicar para dirigir el NAT y aplicación y Procesamiento de llamadas de la política de seguridad, mientras que el Routers dirige política de calidad de servicio (QoS) la aplicación, la terminación PÁLIDA, y los requisitos de conectividad del VPN de sitio a sitio.

Antes de la introducción de Cisco IOS Software Release 12.4(20)T, el Firewall clásico y el Firewall Zona-basado de la directiva (ZFW) no podían soportar completamente las capacidades requeridas para el tráfico de VoIP y los servicios de voz basados en el router, y las aperturas grandes requeridas en las políticas del firewall de otra manera seguras para acomodar el tráfico de voz y el soporte limitado ofrecido para los protocolos de desarrollo de la señalización VoIP y de los media.

Configurar

El despliegue del Cisco IOS Zona-basó el Firewall de la directiva

El Firewall Zona-basado Cisco IOS de la directiva, similar a otros Firewall, puede ofrecer solamente un Firewall seguro si los requerimientos de seguridad del trustingare de la red identificado y descrito por la política de seguridad. Hay dos acercamientos fundamentales a llegar una política de seguridad: la perspectiva, en comparación con la perspectiva sospechosa.

La perspectiva que confía en asume que todo el tráfico es digno de confianza, salvo que se puede identificar específicamente como malévolo o indeseado. Se implementa una directiva específica que niega solamente el tráfico no deseado. Esto es típicamente realizado a través de las entradas de control de acceso específicas del uso, o de las herramientas de la firma o comportamiento-basado. Este acercamiento tiende a interferir menos con las aplicaciones existentes, pero requiere un conocimiento completo del paisaje de la amenaza y de la vulnerabilidad, y requiere la vigilancia constante dirigir las nuevos amenazas y exploits mientras que aparecen. Además, la comunidad del usuario debe hacer una parte grande en mantener la Seguridad adecuada. Un entorno que permite la libertad amplia con poco control para los inquilinos ofrece la oportunidad sustancial para los problemas causados por los individuos descuidados o malévolos. Un problema adicional de este acercamiento es que confía mucho más en las herramientas de administración eficaz y los controles de la aplicación que ofrecen la suficientes flexibilidad y funcionamiento para poder monitorear y controlar los datos sospechados en todo el tráfico de la red. Mientras que la tecnología está actualmente disponible acomodar esto, la carga operativa excede con frecuencia los límites de la mayoría de las organizaciones.

La perspectiva sospechosa asume que todo el tráfico de la red es indeseado, a excepción del buen tráfico específicamente identificado. Ésta es una directiva que es aplicada que niega todo el tráfico de aplicación salvo que se permita explícitamente. Además, la Inspección de la aplicación y el control (AIC) se pueden implementar para identificar y para negar el tráfico malévolo que se hace a mano específicamente para explotar las buenas aplicaciones, así como el tráfico no deseado que se está disfrazando como buen tráfico. Una vez más los controles de la aplicación imponen operativo y las cargas del funcionamiento en la red, aunque la mayoría del tráfico indeseado se deba controlar por los filtros apátridas tales como Listas de control de acceso (ACL) o directiva Zona-basada del Firewall de la directiva (ZFW), tan allí deben ser substancialmente menos tráfico que se debe manejar por el AIC, el Sistema de prevención de intrusiones (IPS), u otros controles basados en firmas tales como corresponder con flexible del paquete (FPM) o Network-Based Application Recognition (NBAR). Así, si solamente los puertos de aplicación deseados, y el tráfico media-específico dinámico que se presenta de los controles de conexión o de las sesiones sabidos, se permiten específicamente, el único tráfico no deseado que debe estar presente en la red debe caer en un específico, el subconjunto más-fácil-reconocido, que reduce la ingeniería y la carga operativa impuestas para mantener el control sobre el tráfico indeseado.

Este documento describe las Configuraciones de seguridad VoIP basadas en la perspectiva sospechosa; así, trafique solamente se permite que es permitido en los segmentos de la red de voz. Las directivas de los datos tienden a ser más permisivas, según lo descrito por las notas en la configuración de cada escenario de la aplicación.

Todas las implementaciones de la política de seguridad deben seguir un ciclo del Closed-Loop Feedback; de las instrumentaciones de la seguridad la capacidad de la influencia típicamente y las funciones de las aplicaciones existentes, y se deben ajustar para minimizar o resolver este impacto.

Refiera al diseño del Firewall de la directiva y a la guía Zona-basados de la aplicación para más información y fondo adicional para la configuración del Firewall Zona-basado de la directiva.

Consideraciones para ZFW en los entornos VoIP

La guía previamente mencionada del diseño y de la aplicación ofrece una explicación abreviada para la Seguridad del router con el uso de las políticas de seguridad a y desde la zona del uno mismo del router, así como las capacidades alternativas que se proporcionan con la diversa protección de la fundación de la red (NFP) ofrecen. Las capacidades basadas en el router VoIP se reciben dentro de la zona del uno mismo del router, tan las políticas de seguridad por las cuales proteja al router debe ser consciente de los requisitos para el tráfico de voz, para acomodar la señalización de voz y los media originados y destinados a los recursos del Cisco Unified CallManager Express, del Survivable Remote Site Telephony, y del gateway de voz. Antes del Cisco IOS Software Release 12.4(20)T, el Firewall clásico y el Firewall Zona-basado de la directiva no podían acomodar completamente los requisitos del tráfico de VoIP, así que las políticas del firewall no fueron optimizadas para proteger completamente los recursos. las políticas de seguridad de la Uno mismo-zona que protegen los recursos basados en el router VoIP confían pesadamente en las capacidades introducidas en el Cisco IOS Software Release 12.4(20)T.

Características de la voz del Firewall Cisco IOS

El Cisco IOS Software Release 12.4(20)T introdujo varias mejoras para habilitar el Firewall y las capacidades de voz de la zona del coresidente. Tres funciones principales se aplican directamente para asegurar las Aplicaciones de voz:

  • Mejoras del SORBO: Gateway de capa de aplicación y Inspección de la aplicación y control

    • Soporte de versión del SORBO de las actualizaciones a SIPv2, según lo descrito por el RFC 3261

    • Ensancha el soporte de señalización del SORBO para reconocer una variedad más amplia de flujos de llamada

    • Introduce la Inspección de la aplicación y el control (AIC) del SORBO para aplicar los controles granulares para dirigir las vulnerabilidades y los exploits específicos del nivel de la aplicación

    • Amplía el examen de la uno mismo-zona para poder reconocer los canales secundarios de la señalización y de los media que resultan del tráfico del SORBO locally-destined/-originated

  • Soporte para el tráfico local flaco y Cisco CallManager expreso

    • Soporte del SCCP de las actualizaciones a la versión 16 (previamente versión admitida 9)

    • Introduce la Inspección de la aplicación y el control (AIC) del SCCP para aplicar los controles granulares para dirigir las vulnerabilidades y los exploits específicos del nivel de la aplicación

    • Amplía el examen de la uno mismo-zona para poder reconocer la señalización secundaria y el media canaliza resultar del tráfico del SCCP locally-destined/-originated

  • Soporte de H.323 v3/v4

    • Soporte de H.323 de las actualizaciones al v3 y a v4 (v1 previamente soportado y v2), según lo descrito por

    • Introduce la Inspección de la aplicación y el control (AIC) de H.323 para aplicar los controles granulares para dirigir las vulnerabilidades y los exploits específicos del nivel de la aplicación

Las configuraciones de Seguridad de routers descritas en este documento incluyen las capacidades ofrecidas por estas mejoras, con la explicación para describir la acción aplicada por las directivas. Los enlaces hipertexto a los documentos de la característica individual están disponibles en la sección de información relacionada en el extremo de este documento, si usted desea revisar los detalles completos para las características del examen de la Voz.

Advertencias

La aplicación del Firewall Cisco IOS con las capacidades de voz basadas en el router debe aplicar el Firewall Zona-basado de la directiva para reforzar las puntas que fueron mencionadas previamente. El escudo de protección IOS clásico no incluye la capacidad necesaria para soportar completamente las complejidades de la señalización y el comportamiento del tráfico de voz.

NAT

El Cisco IOS Network Address Translation (NAT) se configura con frecuencia simultáneamente al Firewall Cisco IOS, determinado en caso de que las redes privadas deben interconectar con Internet, o si las redes privadas dispares deben conectar, determinado si solapar el espacio de IP Address es funcionando. El Cisco IOS Software incluye los gatewayes de capa de aplicación NAT (ALGs) para el SORBO, flaco, y H.323. Idealmente, la conectividad de red para la Voz IP se puede acomodar sin la aplicación del NAT, pues el NAT introduce además la complejidad a las aplicaciones el resolver problemas y de la política de seguridad, determinado en caso de que se utiliza la sobrecarga NAT. El NAT se debe aplicar solamente como una solución más reciente del caso para dirigir las preocupaciones de la conectividad de red.

CUPC

Este documento no describe la configuración que soporta el uso del cliente del Cisco Unified Presence (CUPC) con el Firewall Cisco IOS, pues CUPC todavía no es soportado por la zona o el Firewall clásico a partir del Cisco IOS Software Release 12.4(20)T1. CUPC se soporta en una futura versión del Cisco IOS Software.

Oficina con el gateway del Cisco Unity Express/SRST/PSTN que conecta con el Cisco CallManager centralizado

Este escenario diferencia de las aplicaciones anteriores, en eso Control de llamadas centralizado se utiliza para todo el Control de llamadas, en vez del Procesamiento de llamadas basado en el router distribuido. El correo de voz distribuido es Unity aplicado, pero del throughCisco expreso en el router. El router proporciona las funciones del Survivable Remote Site Telephony y del gateway PSTN para la marca y el local-dial de la emergencia. Un nivel específico a la aplicación de capacidad PSTN se recomienda para acomodar el error de Toll Bypass basado en el WAN que marca, así como la área local que marca según lo descrito por el Plan de marcado. Además, legislaciones locales requieren típicamente que una cierta clase de conectividad PSTN local esté proporcionada para acomodar la marca de la emergencia (911).

Este escenario puede también aplicar el Cisco CallManager expreso como el agente del Procesamiento de llamadas para el SRST, en caso que la mayor capacidad de procesamiento de llamadas se requiera durante las caídas del sistema WAN/CCM. Refiera al Cisco Unity Connection de integración con Cisco unificó el CME-como-SRST para más información.

Fondo del escenario

El escenario de la aplicación incorpora los teléfonos atados con alambre (VLA N de la Voz), PC atados con alambre (VLAN de dato), y los dispositivos de red inalámbrica (dispositivos de VoIP incluyendo tales como comunicador IP).

  1. Señalando el examen entre los teléfonos locales y el telecontrol CUCM agrupe (SCCP y el SORBO)

  2. Examine H.323 que señala entre el router y el cluster del telecontrol CUCM.

  3. Examine la señalización entre los teléfonos locales y el router cuando el link al sitio remoto está abajo y el SRST es activo.

  4. Agujeritos de las medias de voz para la comunicación en medio:

    1. Segmentos atados con alambre y inalámbricos del Local

    2. Local y teléfonos remotos

    3. Servidor remoto y teléfonos locales del moh

    4. Servidor de Unity remoto y teléfonos locales para el correo de voz

  5. Aplique la Inspección de la aplicación y el control (AIC) a:

    1. el límite de velocidad invita a los mensajes

    2. asegure la conformidad del protocolo en todo el tráfico del SORBO.

iosfw-cue-cucm-01.gif

Ventajas/desventajas

Este escenario ofrece la ventaja que la mayoría de Procesamiento de llamadas ocurre en un clúster del Cisco CallManager central, que ofrece la carga reducida de la Administración. El router debe tener que típicamente dirigir la carga menos local del examen del Voz-recurso con respecto a los otros casos descritos en este documento, pues no imponen a la mayoría de la carga del procesamiento de llamadas ante el router, a excepción de manejar el tráfico a/desde el Cisco Unity Express, y en los casos cuando hay una caída del sistema de WAN o CUCM, y el CallManager Express/SRST del Cisco local se llama en el efecto para dirigir el Procesamiento de llamadas.

La desventaja más grande de este caso, durante la actividad típica del procesamiento de llamadas, es que el Cisco Unity Express está situado en el router local. Mientras que esto es bueno de una perspectiva del diseño, por ejemplo, el Cisco Unity Express está situado lo más cerca posible a los usuarios finales donde se sostiene el voicemail, él incurre en una cierta carga adicional de la Administración, en que puede haber un gran número de Cisco Unity Express a manejar. Eso dicha, con un Cisco Unity Express central para llevar las desventajas opuestas, en eso un Cisco Unity Express central es más lejano de los usuarios remotos, y no es posiblemente accesible durante las caídas del sistema. Así, las ventajas funcionales de la oferta distribuida del voicemail por el despliegue del Cisco Unity Express a los lugares remotos ofrecen la opción superior.

Las configuraciones para las directivas de los datos, Firewall Zona-basado, expresan la Seguridad, Cisco CallManager expreso

La configuración del router se basa en 3845 con un NME-X-23ES y un PRI HWIC:

Configuración del servicio de voz para el SRST y la Conectividad del Cisco Unity Express:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

Éste es un eample de la configuración de escudo de protección Zona-basada de la directiva, integrado por las zonas de Seguridad para los segmentos atada con alambre y del Wireless LAN, LAN privado, que se compone de los segmentos atados con alambre y inalámbricos, un segmento PÁLIDO donde se alcanza la conectividad WAN de confianza, y la zona del uno mismo en donde los recursos de la Voz del router se localizan:

/image/gif/paws/108012/iosfw-cue-cucm-02.gif

Configuración de seguridad:

class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 3825-srst
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
ip cef
!
!
ip domain name cisco.com
ip name-server 172.16.1.22
ip vrf acctg
 rd 0:1
!
ip vrf eng
 rd 0:2
!
ip inspect WAAS enable
!
no ipv6 cef
multilink bundle-name authenticated
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
!
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security vpn
zone security eng
zone security acctg
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
!
interface Loopback101
 ip vrf forwarding acctg
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface Loopback102
 ip vrf forwarding eng
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.109
 encapsulation dot1Q 109
 ip address 172.16.109.11 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 zone-member security public
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1.129
 encapsulation dot1Q 129
 ip address 172.17.109.2 255.255.255.0
 standby 1 ip 172.17.109.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 track GigabitEthernet0/0.109
!
interface GigabitEthernet0/1.149
 encapsulation dot1Q 149
 ip address 192.168.109.2 255.255.255.0
 ip wccp 61 redirect in
 ip wccp 62 redirect out
 ip nat inside
 ip virtual-reassembly
 zone-member security private
!
interface GigabitEthernet0/1.161
 encapsulation dot1Q 161
 ip vrf forwarding acctg
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface GigabitEthernet0/1.162
 encapsulation dot1Q 162
 ip vrf forwarding eng
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface Serial0/3/0
 no ip address
 encapsulation frame-relay
 shutdown
 frame-relay lmi-type cisco
!
interface Serial0/3/0.1 point-to-point
 ip vrf forwarding acctg
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 321 IETF
!
interface Serial0/3/0.2 point-to-point
 ip vrf forwarding eng
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 322 IETF
!
interface Integrated-Service-Engine2/0
 no ip address
 shutdown
 no keepalive
!
interface GigabitEthernet3/0
 no ip address
 shutdown
!
router eigrp 1
 network 172.16.109.0 0.0.0.255
 network 172.17.109.0 0.0.0.255
 no auto-summary
!
router eigrp 104
 network 10.1.104.0 0.0.0.255
 network 192.168.109.0
 network 192.168.209.0
 no auto-summary
!
router bgp 1109
 bgp log-neighbor-changes
 neighbor 172.17.109.4 remote-as 1109
 !
 address-family ipv4
  neighbor 172.17.109.4 activate
  no auto-summary
  no synchronization
  network 172.17.109.0 mask 255.255.255.0
 exit-address-family
!
ip forward-protocol nd
ip route vrf acctg 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf acctg 10.1.2.0 255.255.255.0 10.255.1.2
ip route vrf eng 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf eng 10.1.2.0 255.255.255.0 10.255.1.2
!
!
ip http server
no ip http secure-server
ip nat pool acctg-nat-pool 172.16.109.21 172.16.109.22 netmask 255.255.255.0
ip nat pool eng-nat-pool 172.16.109.24 172.16.109.24 netmask 255.255.255.0
ip nat inside source list 109 interface GigabitEthernet0/0.109 overload
ip nat inside source list acctg-nat-list pool acctg-nat-pool vrf acctg overload
ip nat inside source list eng-nat-list pool eng-nat-pool vrf eng overload
ip nat inside source static 172.17.109.12 172.16.109.12 extendable
!
ip access-list extended acctg-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended eng-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
!
logging 172.16.1.20
access-list 1 permit any
access-list 109 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 109 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
access-list 141 permit ip 10.0.0.0 0.255.255.255 any
access-list 171 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
gateway
 timer receive-rtp 1200
!
!
alias exec sh-sess show policy-map type inspect zone-pair sessions
!
line con 0
 exec-timeout 0 0
line aux 0
line 130
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line 194
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
 password cisco
 login
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Aprovisionamiento, Administración, y supervisión

El aprovisionamiento y la configuración para los recursos basados en el router de la Telefonía IP y el Firewall Zona-basado de la directiva es generalmente los mejores acomodados con el Cisco Configuration Professional. El administrador del CiscoSecure no soporta el Firewall Zona-basado de la directiva o la Telefonía IP basada en el router.

El Firewall clásico del Cisco IOS soporta la supervisión SNMP con el Firewall unificado Cisco MIB. Pero, el Firewall Zona-basado de la directiva todavía no se soporta en el Firewall unificado MIB. Como tal, la supervisión del Firewall se debe manejar con las estadísticas sobre la interfaz de la línea de comandos del router, o con las herramientas GUI tales como Cisco Configuration Professional.

Soporte básico de las ofertas el monitorear y del sistema de reporte del CiscoSecure (CS-MARS) para el Firewall Zona-basado de la directiva, aunque los cambios de registración que mejoraron la correlación del mensaje del registro para traficar que fueron implementadas en la versión de Cisco IOS Software 12.4(15)T4/T5 y el Cisco IOS Software Release 12.4(20)T todavía no se hayan soportado completamente en CS-MARS.

Planificación de capacidad

La prueba de rendimiento del examen de la llamada del Firewall resulta de la India TBD.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

El Firewall de la zona del Cisco IOS proporciona los comandos show and debug para ver, monitorear, y resolver problemas la actividad del Firewall. Esta sección describe el uso de los comandos show para monitorear la actividad básica del Firewall, y una introducción a los comandos debug del Firewall de la zona para un troubleshooting más detallado, o si la discusión con el Soporte técnico requiere la información detallada.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Comandos show

El Firewall Cisco IOS ofrece varios comandos show para ver la configuración y la actividad de la política de seguridad:

Muchos de estos comandos se pueden substituir por un comando más corto con la aplicación del comando alias.

Comandos de Debug

Los comandos Debug pueden ser útiles en caso que usted utilice un anormal o una configuración no admitida, y necesitan trabajar con el TAC de Cisco o los Servicios de soporte técnico de otros Productos para resolver los problemas de interoperabilidad.

Nota: La aplicación de los comandos debug a las capacidades específicas o el tráfico puede causar un gran número de mensajes de la consola, que hacen la consola del router llegar a ser insensible. En caso que usted necesite habilitar el debugging, es posible prever el acceso alternativo de la interfaz de la línea de comandos, tal como una ventana telnet que no lo haga monitoree el diálogo terminal. Usted debe habilitar solamente el debug en el equipo offline (del ambiente de laboratorio) o durante una ventana del mantenimiento planeado, porque si usted habilita el debug, éste puede afectar substancialmente al rendimiento del router.


Información Relacionada


Document ID: 108012