Colaboración : Dispositivos de seguridad Cisco PIX de la serie 500

Uso de los comandos nat, global, static, conduit y access-list y redirección (reenvío) de puertos en PIX

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Octubre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Diagrama de la red
Configuración inicial
Procedimiento para permitir el acceso de salida del PIX
     Procedimiento para permitir que algunos de los hosts internos tengan acceso a las redes exteriores
     Procedimiento para permitir que el resto de hosts internos tengan acceso a las redes exteriores
     Procedimiento para permitir que los hosts internos tengan acceso a zonas DMZ sin traducción
     Procedimiento para restringir el acceso de los hosts internos a redes exteriores
Procedimiento para permitir que los hosts que no son de confianza tengan acceso a los hosts de la red de confianza
     Uso de conductos en PIX 4.4.5 y versiones posteriores
     Uso de las ACL en las versiones 5.0.1 y posteriores de PIX
Inhabilitación de NAT
Redirección (reenvío) de puertos con estática
     Diagrama de la red – Redirección (reenvío) de puertos
     Configuración parcial de PIX: redirección (reenvío) de puertos
NAT externa
     Diagrama de la red – NAT externa
     Configuración parcial de PIX: NAT externo
Resolución de problemas
Información para recopilar si abre un caso del TAC

Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Para maximizar la seguridad cuando se implementa un Cisco Secure PIX Firewall, es importante entender cómo viajan los paquetes entre las interfaces de mayor seguridad desde las de menor seguridad mediante los comandos nat, global, static y conduit, o los comandos access-list y access-group en las versiones 5.0 y posteriores del software PIX. En este documento se explican las diferencias entre estos comandos y cómo configurar la redirección (reenvío) de puertos en la versión 6.0 del software PIX; también se describe la función Traducción de direcciones de red (NAT) externa agregada a la versión 6.2 del software PIX.

Consulte PIX/ASA 7.x NAT and PAT Statements (Sentencias NAT y PAT de PIX/ASA 7.x) si desea más información sobre las configuraciones básicas de NAT y la traducción de direcciones de puerto PAT en dispositivos de seguridad Cisco PIX serie 500.

Consulte Uso de las sentencias NAT y PAT en Cisco Secure PIX Firewall para obtener más información sobre los ejemplos de configuraciones básicas de NAT y PAT en Cisco Secure PIX Firewall.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

La información que contiene este documento se basa en estas versiones de software.

  • Versiones 4.4.5 o posteriores del software del Firewall PIX de Cisco Secure.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Diagrama de la red

28b.gif

Configuración inicial

Los nombres de las interfaces son:

  • nameif ethernet0 outside security0

  • nameif ethernet1 inside security100

Procedimiento para permitir el acceso de salida del PIX

El acceso de salida describe conexiones desde una interfaz de mayor nivel de seguridad a otra de menor nivel de seguridad. Esto incluye las conexiones desde el interior al exterior, interior hacia las zonas desmilitarizadas (DMZ) y DMZ hacia el exterior. También puede incluir conexiones de una DMZ a otra, siempre que la interfaz de origen de conexión tenga un mayor nivel de seguridad que la de destino. Esto puede confirmarse consultando la configuración de “nameif” en PIX.

Se requieren dos políticas para permitir el acceso de salida. La primera es un método de traducción. Puede ser una traducción estática mediante el comando static o una traducción dinámica con una regla NAT/global. El otro requisito para el acceso de salida es si existe una lista de control de acceso (ACL) presente; entonces ésta debe permitir al host de origen acceder al host de destino utilizando un protocolo y puerto específico. De forma predeterminada, no hay restricciones de acceso a las conexiones salientes a través del PIX. Esto significa que si no hay una ACL configurada en la interfaz de origen, como opción predeterminada, se permitirá la conexión de salida si hay un método de traducción configurado.

Las siguientes secciones proporcionan ejemplos para configurar un método de traducción y restringir el acceso de salida mediante el uso de una ACL.

Procedimiento para permitir que algunos de los hosts internos tengan acceso a las redes exteriores

Esta configuración permite que todos los hosts de la subred 10.1.6.0/24 tengan acceso al exterior. Los comandos nat y global se utilizan con este fin.

  1. Defina el grupo interno que se incluirá para NAT.

                      nat (inside) 1 10.1.6.0 255.255.255.0
                   
  2. Especifique el grupo de direcciones de la interfaz externa al que se traducen los hosts definidos en la sentencia NAT.

                      global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
                   

Ahora, los hosts internos pueden obtener acceso a redes externas. Cuando algunos hosts internos inician una conexión al exterior, son traducidos a una dirección del conjunto global. Observe que la asignación de las direcciones se realiza desde un grupo global y la conversión se realiza por orden de llegada, comenzando con la dirección inferior del grupo. Por ejemplo, si el host 10.1.6.25 es el primero en iniciar una conexión hacia el exterior, recibe la dirección 175.1.1.3. El siguiente host que sale recibe la dirección 175.1.1.4, etc. Esta traducción no es estática y vence después de transcurrido un período de inactividad definido por el comando timeout xlate hh:mm:ss .

Procedimiento para permitir que el resto de hosts internos tengan acceso a las redes exteriores

El problema es que hay más hosts internos que direcciones externas. Para permitir que todos los hosts accedan al exterior, utilice la traducción de direcciones de puerto (PAT). Si se especifica una dirección en la sentencia global, los puertos de esa dirección se traducen. El PIX permite una traducción de puerto por interfaz y esa traducción admite hasta 65,535 objetos de traducción activos para una única traducción global. Complete estos pasos:

  1. Defina el grupo interno para incluir en PAT. (Con 0 0 se seleccionan todos los hosts internos.)

                      nat (inside) 1 10.1.6.0 255.255.255.0
                   
  2. Especifique la dirección global que se usará para PAT.

                      global (outside) 1 175.1.1.65
                   

Al utilizar PAT, hay que tener en cuenta diferentes factores.

  • Las direcciones IP que se especifican para PAT no pueden formar parte de otro grupo de direcciones global.

  • PAT no funciona con aplicaciones H.323, servidores de nombres con almacenamiento en memoria caché ni el protocolo de tunelización punto a punto (PPTP). PAT funciona con Sistema de nombres de dominio (DNS), FTP y FTP pasivo, HTTP, correo, llamada de procedimiento remoto (RPC), rshell, Telnet, filtrado de URL y el traceroute de salida.

  • No utilice PAT cuando deban ejecutarse aplicaciones multimedia a través del firewall. Las aplicaciones de multimedia pueden entrar en conflicto con los mapeos del puerto provistos por PAT.

  • En la versión del software PIX 4.2(2), la función PAT no funciona con paquetes de datos IP que llegan en orden inverso. Este problema se resuelve en la versión 4.2(3).

  • Las direcciones IP en el grupo de direcciones globales especificadas con el comando global requieren entradas DNS en orden inverso (reverse DNS) para asegurar que todas las direcciones externas de red sean accesibles a través de PIX. Para crear correspondencias DNS inversas, utilice un registro de puntero DNS (PTR) en el archivo de correspondencia dirección-a-nombre para cada dirección global. Sin las entradas PTR, los sitios pueden sufrir una conectividad a Internet lenta o intermitente y los pedidos FTP pueden fallar constantemente.

    Por ejemplo, si una dirección IP global es 175.1.1.3 y el nombre de dominio del PIX Firewall es pix.caguana.com, el registro PTR sería:

    3.1.1.175.in-addr.arpa. IN PTR
    pix3.caguana.com
    4.1.1.175.in-addr.arpa. IN PTR
    pix4.caguana.com & so on.

Procedimiento para permitir que los hosts internos tengan acceso a zonas DMZ sin traducción

Aunque las configuraciones anteriores de este documento utilizan los comandos nat y global para permitir que los hosts de la red interior tengan acceso a los hosts de una interfaz DMZ traduciendo las direcciones de origen de los hosts internos, a veces este tipo de traducción no es recomendable. Pero cuando un host en una interfaz de un PIX Firewall inicia una conexión con un host de otra interfaz, el PIX debe tener una manera de traducir la dirección IP del host a través de él mismo. Aunque no sea necesario traducir la dirección IP, debe producirse una traducción. Por lo tanto, para permitir que los hosts internos tengan acceso a los hosts de la DMZ, debe configurarse una traducción que en realidad no traduce.

Suponga que los hosts de la red interior 10.1.6.0/24 deben tener acceso a los hosts de la red 172.22.1.0/24 de la DMZ:

  1. Cree una traducción estática entre toda la red interior y la DMZ que en realidad no traduzca direcciones internas.

                      static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
                   
  2. Cree una traducción estática para permitir que un host interno tenga acceso a la DMZ sin traducir en realidad la dirección del host.

                      static (inside,dmz) 10.1.6.100 10.1.6.100
                   

    Nota: el PIX agrega automáticamente una máscara de subred de 255.255.255.255.

Procedimiento para restringir el acceso de los hosts internos a redes exteriores

Si hay un método de traducción válido definido para el host de origen y ninguna ACL definida para la interfaz PIX de origen, se permitirá la conexión saliente de forma predeterminada. Sin embargo, en algunos casos, puede ser necesario limitar el acceso de salida según el origen, el destino, el protocolo y/o el puerto. Esto puede realizarse configurando una ACL con el comando access-list y aplicándola a la interfaz PIX de origen de la conexión con el comando access-group. las ACL del PIX se aplican sólo hacia adentro. Las ACL están disponibles en el código 5.0.1 o posterior de la versión de PIX. Las versiones anteriores utilizan las sentencias "outbound" y "apply", descritas en el material de consulta de los comandos de PIX.

El siguiente es un ejemplo que permite acceso de salida HTTP a una subred, pero niega al resto de hosts acceso HTTP al exterior, mientras que permite el resto del tráfico IP a todos los hosts.

  1. Defina la ACL.

                      access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
                   

    Nota: las ACL de PIX se distinguen de las ACL de los routers de Cisco IOS porque el PIX no utiliza una máscara comodín como Cisco IOS. Usa una máscara de subred regular en la definición ACL. Al igual que en los routers Cisco IOS, la ACL de PIX posee un “denegar todo” implícito al final de la ACL.

  2. Aplique el ACL a la interfaz interna.

                      access-group acl_outbound in interface inside
                   

Procedimiento para permitir que los hosts que no son de confianza tengan acceso a los hosts de la red de confianza

La mayoría de organizaciones deben permitir que los hosts que no son de confianza tengan acceso a los recursos de su red de confianza, siendo un ejemplo típico un servidor web interno. De forma predeterminada, PIX impide las conexiones de los hosts externos a los internos. Utilice los comandos static y conduit para permitir esta conexión. En las versiones 5.0.1 y posteriores del software PIX, los comandos access-list y access-group están disponibles, además de los comandos conduit.

Tanto los conductos como las ACL tienen sentido para un PIX de dos interfaces. Los conductos se basan en la dirección. Tienen un concepto de interior y exterior. Con un PIX de dos interfaces, el conducto permite el tráfico del exterior al interior. A diferencia de los conductos, las ACL se aplican a las interfaces con un comando access-group. Este comando asocia la ACL con la interfaz para examinar el tráfico que circula en una dirección en particular.

A diferencia de los comandos nat y global que permiten la salida de hosts internos, el comando static crea una traducción bidireccional que permite la salida de hosts internos y la entrada de hosts externos si se crean los conductos adecuados o se agregan ACL/grupos (versión 5.0.1 o posterior del software PIX).

En la configuración PAT de los ejemplos anteriores de este documento, si un host externo intentaba conectarse a la dirección global, podría ser usado por miles de hosts internos. El comando static crea una asignación de uno a uno. El comando conduit o access-list define qué tipo de conexión se le permite a un host interno y siempre es necesario cuando un host con seguridad baja se conecta a un host con seguridad más alta. El conduit o access-list se basa tanto en el puerto como en el protocolo. Puede ser muy permisivo o muy restrictivo, dependiendo de lo que quiera conseguir el administrador del sistema.

El diagrama de red de este documento ejemplifica el uso de estos comandos para configurar el PIX de manera que autorice que los hosts que no son de confianza se conecten al servidor web interno, permitiendo que este host que no es de confianza, 199.199.199.24, acceda al servicio FTP en el mismo equipo.

Uso de conductos en PIX 4.4.5 y versiones posteriores

Siga estos pasos para las versiones 4.4.5 y posteriores del software PIX con conductos.

  1. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa.

                      static (inside,outside) 175.1.1.254 10.200.1.254
                   
  2. Defina qué hosts pueden conectarse a qué puertos del servidor web/FTP.

                      conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
                   

En el software PIX 5.0.1 y posterior, pueden usarse ACL con grupos de acceso en lugar de conductos. Los conductos todavía están disponibles, pero se debe elegir entre el uso de conductos o las ACL. No se recomienda combinar las ACL y los conductos en la misma configuración. Si ambos están configurados, las ACL tienen preferencia ante los conductos.

Uso de las ACL en las versiones 5.0.1 y posteriores de PIX

Siga estos pasos para las versiones 5.0.1 y posteriores del software PIX con ACL.

  1. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa.

                      static (inside, outside) 175.1.1.254 10.200.1.254
                   
  2. Defina qué hosts pueden conectarse a qué puertos del servidor web/FTP.

                      access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
                   
  3. Aplique la ACL a la interfaz externa.

                      access-group 101 in interface outside
                   

Nota: estos comandos deben utilizarse con prudencia. Si se ejecuta el comando conduit permit ip any any o access-list 101 permit ip any any, cualquier host de la red que no es de confianza puede tener acceso a cualquier host de la red de confianza utilizando IP siempre que haya una traducción activa.

Inhabilitación de NAT

Si tiene una dirección pública dentro de la red y desea que los hosts internos salgan al exterior sin traducción, puede inhabilitar NAT. También hay que cambiar el comando static.

Según el ejemplo de este documento, el comando nat cambia como se muestra en este resultado:

            nat (inside) 0 175.1.1.0 255.255.255.0 
         

Si utiliza ACL en el software PIX versión 5.0.1 y posteriores, utilice los siguientes comandos:

            access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103
         

Este comando desactiva la NAT para la red 175.1.1.0. El comando static del servidor web cambia como se muestra en este resultado:

            static (inside, outside) 175.1.1.254 175.1.1.254
         

Este comando define el conducto del servidor web.

            conduit permit tcp host 175.1.1.254 eq www any
         

Si utiliza ACL en el software PIX versión 5.0.1 y posteriores, utilice los siguientes comandos:

            access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside
         

Tenga en cuenta que la diferencia entre usar nat 0 con especificación de la red/máscara en contraposición con usar una ACL que emplea una red/máscara es que permite la iniciación de conexiones únicamente desde el interior. El uso de ACL permite iniciar conexiones mediante tráfico entrante o saliente. Las interfaces PIX deberían estar en subredes diferentes para evitar problemas de alcance.

Redirección (reenvío) de puertos con estática

En PIX 6.0, se ha agregado la función de redirección (reenvío) de puertos para permitir que los usuarios externos se conecten a una dirección o un puerto IP determinados y hacer que PIX redireccione el tráfico al servidor interno adecuado; se ha modificado el comando static. La dirección compartida puede ser una dirección exclusiva, una dirección PAT saliente compartida o compartida con la interfaz externa.

Nota: estos comandos se muestran en dos líneas debido a limitaciones de espacio.

            static [(internal_if_name, external_if_name)]
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit
[norandomseq]]]
         
            static [(internal_if_name, external_if_name)] {tcp|udp}
{global_ip|interface}
global_port local_ip local_port [netmask mask] [max_conns
[emb_limit [norandomseq]]]
         

Estas son las redirecciones de puerto correspondientes a la red de ejemplo:

  • Los usuarios externos dirigen las peticiones Telnet a la dirección IP 172.18.124.99 única y el PIX las redirige a 10.1.1.6.

  • Los usuarios externos dirigen las peticiones FTP a la dirección IP exclusiva 172.18.124.99, que PIX redirige a 10.1.1.3.

  • Los usuarios externos dirigen las peticiones Telnet a la dirección PAT 172.18.124.208 y el PIX las redirige a 10.1.1.4.

  • Los usuarios externos dirigen las peticiones Telnet a la dirección IP externa 172.18.124.216, que el PIX redirige a 10.1.1.5.

  • Los usuarios externos dirigen las peticiones HTTP a la dirección IP externa 172.18.124.216 del PIX y éste las redirige a 10.1.1.5.

  • Los usuarios externos direccionan las peticiones del puerto 8080 http a la dirección PAT 172.18.124.208 y el PIX las redirecciona a la 10.1.1.7.del puerto 80.

En este ejemplo también se bloquea el acceso de algunos usuarios desde el interior al exterior con la ACL 100. Este paso es opcional. Sin la ACL, se permite todo el tráfico de salida.

Diagrama de la red – Redirección (reenvío) de puertos

28-02.gif

Configuración parcial de PIX: redirección (reenvío) de puertos

En esta configuración parcial se muestra el uso de la redirección estática de puertos.

Configuración parcial de PIX: redirección (reenvío) de puertos

fixup protocol ftp 21

                     !--- El uso de una ACL de salida es opcional.
                  
access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain

access-list 101 permit tcp any host 172.18.124.99 eq telnet
access-list 101 permit tcp any host 172.18.124.99 eq ftp
access-list 101 permit tcp any host 172.18.124.208 eq telnet
access-list 101 permit tcp any host 172.18.124.216 eq telnet
access-list 101 permit tcp any host 172.18.124.216 eq www
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7
   www netmask 255.255.255.255 0 0

                     !--- El uso de una ACL de salida es opcional.
                  
access-group 100 in interface inside
access-group 101 in interface outside

NAT externa

A partir de la versión PIX 6.2, NAT y PAT pueden aplicarse al tráfico de una interfaz externa, o menos segura, a una interfaz interna (más segura). En algunas ocasiones, esto se denomina “NAT bidireccional”.

NAT/PAT exterior es similar a NAT/PAT interior, pero la traducción de direcciones se aplica a las direcciones de hosts que residen en las interfaces exteriores (menos seguras) del PIX. Para configurar un NAT externo dinámico, especifique las direcciones que deben traducirse en la interfaz menos segura y también la dirección o direcciones globales en la interfaz interna (más segura). Para configurar el NAT externo estático, utilice el comando static a fin de especificar la correspondencia uno a uno.

Después de que se configura la NAT externa, cuando un paquete llega a la interfaz exterior (menos segura) del PIX, el PIX intenta ubicar una xlate (entrada de traducción de dirección) existente en la base de datos de las conexiones. Si no existe xlate, busca la política NAT en la configuración en funcionamiento. Si se encuentra una política NAT, se crea una xlate y se introduce en la base de datos. El PIX luego vuelve a escribir la dirección de fuente para la dirección correlacionada con la memoria o la global y transmite el paquete en la interfaz interior. Una vez que se establece xlate, las direcciones de cualquier paquete subsiguiente pueden traducirse rápidamente consultando las entradas en la base de datos de conexiones.

Diagrama de la red – NAT externa

28-01.gif

En el ejemplo:

  • Dispositivo 10.100.1.2 a NAT a 209.165.202.135 cuando sale

  • Dispositivo 209.165.202.129 a NAT a 10.100.1.3 cuando entra

  • Otros dispositivos de la red 10.100.1.x a NAT a direcciones del grupo 209.165.202.140-209.165.202.141 cuando sale

  • Conectividad del dispositivo 209.165.202.129 al dispositivo 10.100.1.2 viendo el dispositivo 209.165.202.129 el dispositivo interno como 209.165.202.135 y viendo el dispositivo 10.100.1.2 el tráfico de 209.165.202.129 como procedente de 10.100.1.3 (debido al NAT externo)

Se permite el acceso a todos los dispositivos 209.165.202.x mediante ACL o conductos.

Configuración parcial de PIX: NAT externo

Configuración parcial de PIX: NAT externo

ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

                     !--- Alternativamente, en vez de conductos, dejamos las sentencias estáticas pero tenemos lo siguiente.
                  
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

Resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración.

  • Si se utilizan pings ICMP para probar una traducción configurada, es probable que fallen y que parezca que la traducción no funciona. De forma predeterminada, el PIX bloquea los mensajes ICMP de las interfaces de menor seguridad a las interfaces de mayor seguridad. Esto sucede incluso se detecta un echo-reply como respuesta a un ping iniciado en el interior. Por lo tanto, asegúrese de utilizar otro método, como Telnet, para verificar la configuración.

  • Después de realizar cambios en las reglas de traducción del PIX, es muy recomendable ejecutar el comando clear xlate. De esta manera se garantiza que las traducciones antiguas no interfieran con las recién configuradas y provoquen un funcionamiento incorrecto.

  • Después de configurar o cambiar las traducciones estáticas entre servidores internos o de la zona DMZ y servidores externos, podría ser necesario borrar la caché ARP del router gateway o del resto de dispositivos a un salto de distancia.

Información para recopilar si abre un caso del TAC

Si aún necesita ayuda después de seguir los pasos anteriores para la resolución de problemas y desea abrir una incidencia en el Centro de Asistencia Técnica de Cisco, no olvide incluir la siguiente información para la resolución del problema de su firewall PIX.

  • Descripción del problema y detalles relevantes de la topología

  • Pasos para la solución del problema antes de abrir la incidencia

  • Resultado del comando show tech-support

  • Resultado del comando show log después de la ejecución del comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles)

Adjunte los datos recopilados para su caso en un texto sin formato (.txt), sin compactar. Puede adjuntar información a su incidencia transfiriéndola mediante la herramienta Case Query ( sólo para clientes registrados) . Si no puede acceder a la herramienta Case Query y desea adjuntar información pertinente a su incidencia, puede enviarla como documento adjunto de un correo electrónico a attach@cisco.com, con el número de incidencia en el asunto del mensaje.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 12496