Безопасность : Межсетевой экран Cisco IOS

Зональный брандмауэр Cisco IOS: Офис со шлюзом Cisco Unity Express/SRST/PSTN с соединением с Cisco CallManager

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Маршрутизаторы Интегрированного сервиса Cisco (ISR) предлагают масштабируемую платформу адресным сведениям и требованиям голосовой сети для широкого диапазона приложений. Несмотря на то, что среда угрозы и частных и подключенных к Интернету сетей очень динамическое окружение, Cisco, которую Межсетевой экран IOS� предлагает проверке трафика потоком и Контролю приложения и Контролю (AIC) возможности определить и принудить положение защищенной сети при включении бизнес-возможности и непрерывности.

Этот документ описывает дизайн и обсуждения конфигурации для аспектов межсетевой защиты определенной Cisco основанные на ISR данные и сценарии голосового приложения. Конфигурация для голосовых сервисов и межсетевого экрана предоставлена для каждого сценария приложения. Каждый сценарий описывает VoIP и конфигурации безопасности отдельно, затем всей конфигурацией маршрутизатора. Ваша сеть может потребовать, чтобы другая конфигурация для сервисов, таких как QoS и VPN поддержала качество голосовой связи и конфиденциальность.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения межсетевого экрана Cisco IOS

Межсетевой экран Cisco IOS, как правило, развертывается в сценариях приложения, которые отличаются от моделей развертывания межсетевых экранов устройства. Типичные развертывания включают приложения Удаленного сотрудника, маленькие - или узлы филиала компании и розничные приложения, где желаемы низкое количество устройства, интеграция множественного обслуживания, и низшая производительность и глубина возможностей по обеспечению безопасности.

В то время как приложение контроля межсетевого экрана, наряду с другими интегрированными сервисами в продуктах ISR, может казаться привлекательным от стоимости и в рабочем состоянии перспективы, определенные факторы должны быть оценены, чтобы определить, является ли основанный на маршрутизаторе межсетевой экран соответствующим. Если недостаточно мощное основанное на Интегрированном маршрутизаторе решение развернуто, приложение каждой дополнительной характеристики подвергается памяти и затратам на обработку, и вероятно способствует уменьшенным скоростям производительности пересылки, увеличенная задержка передачи пакетов, и потеря функциональных возможностей в течение периодов пиковой нагрузки. Наблюдайте эти рекомендации, когда вы решите между маршрутизатором и устройством:

  • Маршрутизатор со множественными интегрированными активированными опциями подходит лучше всего для филиала компании или узлов удаленного пользователя, где меньше устройств предлагает лучшее решение

  • Высокая пропускная способность, высокоэффективные приложения, как правило, лучше обращаются с устройствами. Cisco ASA и Cisco, Унифицированный Сервер Call Manager должен быть применен для обработки NAT и приложения политики безопасности и обработки вызовов, в то время как маршрутизаторы обращаются к приложению политики QoS, завершению глобальной сети (WAN) и сквозным VPN-соединение требованиям подключения.

До введения программного обеспечения Cisco IOS версии 12.4(20)T, Классического Межсетевого экрана и Zone-Based Policy межсетевого экрана (ZFW) было неспособно к полностью возможностям поддержки, требуемым для Трафика VoIP и основанных на маршрутизаторе голосовых сервисов, и потребовал больших открытий в иначе безопасной политике межсетевого экрана, чтобы принять голосовой трафик и предложил ограниченную поддержку развития протоколы сред и VoIP передача сигналов.

Настройка

Развертывания Zone-Based Policy межсетевого экрана Cisco IOS

Zone-Based Policy межсетевой экран Cisco IOS, подобный другим межсетевым экранам, может только предложить безопасный межсетевой экран если требования безопасности сети trustingare определенный и описанный политикой безопасности. Существует два фундаментальных подхода для поступления в политику безопасности: перспектива, в противоположность подозрительной перспективе.

Доверчивая перспектива предполагает, что весь трафик защищен, за исключением того, что, который может быть специально определен как злонамеренный или нежелательный. Определенная политика проводится, который запрещает только нежелательный трафик. Это, как правило, выполняется посредством использования определенные записи контроля доступа или подпись - или основанные на поведении программные средства. Этот подход имеет тенденцию вмешиваться меньше в существующие приложения, но требует всестороннего знания среды угрозы и уязвимости и требует, чтобы постоянная бдительность обратилась к новым угрозам и использованию, как они появляются. Кроме того, сообщество пользователей должно играть значительную роль в поддержании соответствующей безопасности. Среда, которая позволяет широкую свободу с небольшим контролем для жителей, предлагает существенную возможность для проблем, вызванных небрежными или злонамеренными частными лицами. Дополнительная проблема этого подхода состоит в том, что он полагается намного больше на программные средства эффективного управления и управление приложениями, которое предлагает достаточную гибкость и производительность, чтобы быть в состоянии контролировать и управлять подозрительными данными во всем сетевом трафике. В то время как технология в настоящее время доступна для размещения этого, в рабочем состоянии нагрузка часто превышает пределы большинства организаций.

Подозрительная перспектива предполагает, что весь сетевой трафик нежелателен, за исключением специально определенного хорошего трафика. Это - политика, которая применена, который запрещает весь трафик приложения за исключением того, что, который явно разрешен. Кроме того, контроль приложения и контроль (AIC) могут быть внедрены, чтобы определить и запретить вредоносный трафик, который в частности обработан для использования хороших приложений, а также нежелательного трафика, который подменяет хорошим трафиком. Снова, управление приложениями налагает в рабочем состоянии и трудности производительности в сети, невзирая на то, что большая часть нежелательного трафика должна управляться фильтрами не сохраняющими состояние, такими как списки управления доступом (ACL) или Zone-Based Policy межсетевой экран (ZFW) политика, таким образом, должно быть существенно меньше трафика, который должен быть обработан AIC, системой предотвращения вторжений (IPS) или другими основанными на подписи средствами управления, такими как гибкое пакетное соответствие (FPM) или сетевое распознавание приложений (NBAR). Таким образом, если только порты требуемого приложения и динамический специфичный для сред трафик, являющийся результатом известных контрольных соединений или сеансов, в частности разрешены, единственный нежелательный трафик, который должен присутствовать в сети, должен попасть в определенное, more-easily-recognized подмножество, которое уменьшает техническую и в рабочем состоянии нагрузку, наложенную для обеспечивания контроля над нежелательным трафиком.

Этот документ описывает конфигурации безопасности VoIP на основе подозрительной перспективы; таким образом только трафик, который допустим в сегментах голосовой сети, разрешен. Политика данных имеет тенденцию быть более разрешающей, как описано примечаниями в конфигурации каждого сценария приложения.

Все развертывания политики безопасности должны придерживаться цикла замкнутой петли обратной связи; развертывания безопасности, как правило, влияют на возможность и функциональность существующих приложений, и должны быть отрегулированы, чтобы минимизировать или решить это влияние.

См. Руководство по дизайну Zone-Based Policy межсетевого экрана и Руководство по приложениям для получения дополнительной информации и дополнительные общие сведения для конфигурации Zone-Based Policy межсетевого экрана.

Факторы для ZFW в средах VoIP

Ранее упомянутое Руководство по дизайну и Руководство по приложениям предлагают краткое обсуждение для безопасности маршрутизатора с использованием политики безопасности к и от сам зона маршрутизатора, а также альтернативные возможности, которые предоставлены через различные функции Сетевой защиты основы (NFP). Основанные на маршрутизаторе возможности VoIP размещены в сам зона маршрутизатора, таким образом, политика безопасности, которая защищает маршрутизатор, должна знать о требованиях для голосового трафика, для размещения голосовой сигнализации и сред, инициируемых и предназначенный к Cisco Unified CallManager Express, Survivable Remote Site Telephony и ресурсам Голосового шлюза. До программного обеспечения Cisco IOS версии 12.4(20)T, Классического Межсетевого экрана и Zone-Based Policy межсетевого экрана было неспособно полностью принять требования Трафика VoIP, таким образом, политика межсетевого экрана не была оптимизирована, чтобы полностью защитить ресурсы. Политика самоzone security, которая защищает основанные на маршрутизаторе ресурсы VoIP, полагается в большой степени на возможности, представленные в программном обеспечении Cisco IOS версии 12.4(20)T.

Голосовые характеристики межсетевого экрана Cisco IOS

Программное обеспечение Cisco IOS версии 12.4(20)T представило несколько усовершенствований для включения совместно расположенного Зонального Межсетевого экрана и мощностей речевого сигнала. Три основных характеристики применяются непосредственно для обеспечения голосовых приложений:

  • Усовершенствования SIP: шлюз уровня приложения и контроль приложения и контроль

    • Поддержка версии SIP обновлений к SIPv2, как описано RFC 3261

    • Расширяет поддержку сигнализации SIP для распознавания более широкого разнообразия диаграмм вызовов

    • Представляет Контроль приложения SIP и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

    • Разворачивает самозональный контроль, чтобы быть в состоянии распознать вторичную сигнализацию и каналы сред, следующие locally-destined/-originated трафик SIP

  • Поддержка Skinny локального трафика и Cisco CallManager Express

    • SCCP обновлений поддерживает к версии 16 (ранее поддерживаемая версия 9)

    • Представляет Контроль приложения SCCP и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

    • Разворачивает самозональный контроль, чтобы быть в состоянии распознать вторичную сигнализацию и каналы сред, следующие locally-destined/-originated трафик SCCP

  • Поддержка H.323 v3/v4

    • H.323 обновлений поддерживает к v3 и v4 (ранее поддерживаемый v1 и v2), как описано

    • Представляет Контроль приложения H.323 и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

Конфигурации безопасности маршрутизатора, описанные в этом документе, включают возможности, предлагаемые этими усовершенствованиями с пояснением для описания действия, примененного политикой. Если вы хотите рассмотреть завершенные подробные данные для речевых функций контроля, гиперссылки к документам отдельной функции доступны в Разделе связанных сведений в конце этого документа.

Предупреждения

Приложение межсетевого экрана Cisco IOS с основанными на маршрутизаторе мощностями речевого сигнала должно применить Zone-Based Policy межсетевой экран для подтверждения точек зрения, которые были ранее упомянуты. Классический Межсетевой экран IOS не включает необходимую возможность полностью поддержать сигнальные сложности и поведение голосового трафика.

NAT

Трансляция сетевого адреса Cisco IOS (NAT) часто настраивается одновременно с межсетевым экраном Cisco IOS, особенно в случаях, где частные сети должны взаимодействовать с Интернетом, или если разрозненные частные сети должны соединиться, особенно если используется перекрывающееся пространство IP-адресов. Программное обеспечение Cisco IOS включает шлюзы уровня приложения NAT (ALGs) для SIP, Skinny, и H.323. Идеально, сетевое подключение для голоса IP может быть принято без приложения NAT, поскольку NAT представляет дополнительно сложность устранению проблем и приложениям политики безопасности, особенно в случаях, где используется перегрузка NAT. NAT должен только быть применен как последнее решение для случая обратиться к проблемам сетевого подключения.

CUPC

Этот документ не описывает конфигурацию, которая поддерживает использование унифицированного клиента присутствия Cisco (CUPC) с межсетевым экраном Cisco IOS, поскольку CUPC еще не поддерживается Зональным или Классическим Межсетевым экраном с Cisco IOS Software Release 12.4 (20) T1. CUPC поддерживается в будущем выпуске программного обеспечения Cisco IOS.

Офис с Cisco Unity Express/SRST/PSTN шлюз, который Подключения к Централизованному Сisco CallManager

Этот сценарий отличается от предыдущих приложений, в том централизованном контроле вызова используется для всего управления вызовами, вместо распределенной основанной на маршрутизаторе обработки вызовов. Распределенная голосовая почта применена, но throughCisco Unity Express на маршрутизаторе. Маршрутизатор предоставляет функциональность Survivable Remote Site Telephony и Шлюза PSTN для вызова срочных служб и локального набора. Специализированному уровню емкости PSTN рекомендуют принять сбой основанного на глобальной сети (WAN) набора номера обхода междугородней АТС, а также локального набора номера, как описано схемой набора номеров. Кроме того, местные законодательства, как правило, требуют, чтобы своего рода локальное подключение PSTN было предоставлено для размещения аварийной ситуации (911) набор номера.

Этот сценарий может также применить Cisco CallManager Express как агента обработки вызова для SRST, если большая возможность обработки вызова требуется во время простоев глобальной сети (WAN)/ccm. См. Интегрирующийся Cisco Unity Connection с Cisco Унифицированный CME поскольку SRST для получения дополнительной информации.

Общие сведения сценария

Сценарий приложения включает соединенные проводом телефоны (голосовой VLAN), соединенные проводом PC (VLAN для передачи данных) и беспроводные устройства (включая VoIP - устройства, такие как IP-коммуникатор).

  1. Сигнальный контроль между местными телефонами и удаленным кластером CUCM (SCCP и SIP)

  2. Осмотрите H.323, сигнализирующий между маршрутизатором и удаленным кластером CUCM.

  3. Осмотрите сигнализацию между местными телефонами и маршрутизатором, когда ссылка на удаленный узел не работает, и SRST активен.

  4. Крошечные отверстия алгоритмов сжатия голосовых данных средней сложности для связи между:

    1. Локальные проводные и беспроводные сегменты

    2. Местные и удаленные телефоны

    3. Удаленный сервер MoH и местные телефоны

    4. Удаленный Сервер Unity и местные телефоны для голосовой почты

  5. Примените контроль приложения и управляйте (AIC) к:

    1. ограничение скорости приглашает сообщения

    2. гарантируйте соответствие протокола во всем трафике SIP.

iosfw-cue-cucm-01.gif

Преимущества/ недостатки

Этот сценарий предлагает преимущество, что большинство обработки вызовов происходит в центральном Кластере Cisco CallManager, который предлагает уменьшенную нагрузку управления. Маршрутизатору придется, как правило, обращаться к меньшей нагрузке контроля локального голосовой ресурса по сравнению с другими случаями, описанными в этом документе, поскольку большинство нагрузки обработки вызова не наложено на маршрутизатор, за исключением обработки к/ота трафика Cisco Unity Express, и в случаях, когда существует глобальная сеть (WAN) или простой CUCM, и локальный Cisco CallManager Express/SRST вызывают в эффект к обработке адресного вызова.

Самый большой недостаток этого случая, во время типичного действия обработки вызова, то, что Cisco Unity Express расположен на локальном маршрутизаторе. В то время как это хорошо с точки зрения дизайна, например, Cisco Unity Express расположен самый близкий к конечным пользователям, где голосовая почта проводится, это подвергается некоторой дополнительной нагрузке управления, в которой может быть большое число Cisco Unity Express для управления. Однако с центральным Cisco Unity Express для переноса противоположных недостатков в этом центральный Cisco Unity Express более далек от удаленных пользователей и возможно не доступен во время простоев. Таким образом, функциональные преимущества распределенного предложения голосовой почты развертываниями Cisco Unity Express к удаленным местоположениям предлагает превосходящий выбор.

Конфигурации для политики данных, зонального межсетевого экрана, речевой безопасности, Cisco CallManager Express

Конфигурация маршрутизатора основывается на 3845 с NME-X-23ES и HWIC PRI:

Конфигурация Голосового сервиса для SRST и подключения Cisco Unity Express:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

Это - eample Конфигурации Zone-Based Policy межсетевого экрана, составленной из зон безопасности для проводного и сегментов беспроводной локальной сети, частной локальной сети (LAN), которая составлена из проводных и беспроводных сегментов, сегмент глобальной сети (WAN), где доверяемая возможность подключения к глобальной сети (WAN) достигнута, и сам зона, где расположены речевые ресурсы маршрутизатора:

/image/gif/paws/108012/iosfw-cue-cucm-02.gif

Конфигурация безопасности:

class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 3825-srst
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
ip cef
!
!
ip domain name cisco.com
ip name-server 172.16.1.22
ip vrf acctg
 rd 0:1
!
ip vrf eng
 rd 0:2
!
ip inspect WAAS enable
!
no ipv6 cef
multilink bundle-name authenticated
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
!
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security vpn
zone security eng
zone security acctg
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
!
interface Loopback101
 ip vrf forwarding acctg
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface Loopback102
 ip vrf forwarding eng
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.109
 encapsulation dot1Q 109
 ip address 172.16.109.11 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 zone-member security public
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1.129
 encapsulation dot1Q 129
 ip address 172.17.109.2 255.255.255.0
 standby 1 ip 172.17.109.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 track GigabitEthernet0/0.109
!
interface GigabitEthernet0/1.149
 encapsulation dot1Q 149
 ip address 192.168.109.2 255.255.255.0
 ip wccp 61 redirect in
 ip wccp 62 redirect out
 ip nat inside
 ip virtual-reassembly
 zone-member security private
!
interface GigabitEthernet0/1.161
 encapsulation dot1Q 161
 ip vrf forwarding acctg
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface GigabitEthernet0/1.162
 encapsulation dot1Q 162
 ip vrf forwarding eng
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface Serial0/3/0
 no ip address
 encapsulation frame-relay
 shutdown
 frame-relay lmi-type cisco
!
interface Serial0/3/0.1 point-to-point
 ip vrf forwarding acctg
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 321 IETF
!
interface Serial0/3/0.2 point-to-point
 ip vrf forwarding eng
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 322 IETF
!
interface Integrated-Service-Engine2/0
 no ip address
 shutdown
 no keepalive
!
interface GigabitEthernet3/0
 no ip address
 shutdown
!
router eigrp 1
 network 172.16.109.0 0.0.0.255
 network 172.17.109.0 0.0.0.255
 no auto-summary
!
router eigrp 104
 network 10.1.104.0 0.0.0.255
 network 192.168.109.0
 network 192.168.209.0
 no auto-summary
!
router bgp 1109
 bgp log-neighbor-changes
 neighbor 172.17.109.4 remote-as 1109
 !
 address-family ipv4
  neighbor 172.17.109.4 activate
  no auto-summary
  no synchronization
  network 172.17.109.0 mask 255.255.255.0
 exit-address-family
!
ip forward-protocol nd
ip route vrf acctg 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf acctg 10.1.2.0 255.255.255.0 10.255.1.2
ip route vrf eng 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf eng 10.1.2.0 255.255.255.0 10.255.1.2
!
!
ip http server
no ip http secure-server
ip nat pool acctg-nat-pool 172.16.109.21 172.16.109.22 netmask 255.255.255.0
ip nat pool eng-nat-pool 172.16.109.24 172.16.109.24 netmask 255.255.255.0
ip nat inside source list 109 interface GigabitEthernet0/0.109 overload
ip nat inside source list acctg-nat-list pool acctg-nat-pool vrf acctg overload
ip nat inside source list eng-nat-list pool eng-nat-pool vrf eng overload
ip nat inside source static 172.17.109.12 172.16.109.12 extendable
!
ip access-list extended acctg-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended eng-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
!
logging 172.16.1.20
access-list 1 permit any
access-list 109 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 109 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
access-list 141 permit ip 10.0.0.0 0.255.255.255 any
access-list 171 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
gateway
 timer receive-rtp 1200
!
!
alias exec sh-sess show policy-map type inspect zone-pair sessions
!
line con 0
 exec-timeout 0 0
line aux 0
line 130
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line 194
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
 password cisco
 login
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Инициализация, менеджмент и мониторинг

Инициализация и конфигурация и для основанных на маршрутизаторе ресурсов IP-телефонии и для Zone-Based Policy межсетевого экрана обычно лучше всего снабжается Cisco Configuration Professional. Менеджер CiscoSecure не поддерживает зональный межсетевой экран Политики или основанную на маршрутизаторе IP-телефонию.

Межсетевой экран Классики Cisco IOS поддерживает SNMP, контролирующий с Cisco Унифицированный MIB Межсетевого экрана. Но, Zone-Based Policy межсетевой экран еще не поддерживается в Унифицированном MIB Межсетевого экрана. Также, мониторинг межсетевого экрана должен быть обработан через статистику по интерфейсу командной строки маршрутизатора, или с программными средствами GUI, такими как Cisco Configuration Professional.

CiscoSecure, Отслеживающий и сообщающий Систему (MARS CS), предлагает основную поддержку для Zone-Based Policy межсетевого экрана, невзирая на то, что регистрируя изменения, которые улучшили корреляцию сообщения журнала до трафика, которые были внедрены в Cisco IOS Software Release 12.4 (15), T4/T5 и программное обеспечение Cisco IOS версии 12.4(20)T полностью еще не поддерживались в MARS CS.

Планирование пропускной способности

Результаты тестирования производительности контроля вызова межсетевого экрана от TBD Индии.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Межсетевой экран Зоны Cisco IOS предоставляет, показывают и команды отладки, чтобы просмотреть, контролировать и устраняет неполадки действия межсетевого экрана. Если обсуждение с технической поддержкой запрашивает подробную информацию, этот раздел описывает использование команд показа для мониторинга основного действия межсетевого экрана и введения к командам отладки Зонального Межсетевого экрана для более подробного устранения проблем, или.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Команды "show"

Межсетевой экран Cisco IOS предлагает несколько команд показа для просмотра конфигурации политики безопасности и действия:

Многие из этих команд могут быть заменены более короткой командой через приложение команды alias.

Команды "debug"

Команды отладки могут быть полезными, если вы используете нетипичное или неподдерживаемую конфигурацию, и должны работать с Центром технической поддержки Cisco или услугами технической поддержки других продуктов для решения проблем совместимости.

Примечание: Приложение команд отладки к определенным возможностям или трафику может вызвать очень большое число консольных сообщений, которое заставляет консоль маршрутизатора становиться безразличной. Если необходимо включить отладку, возможно обеспечить альтернативный доступ интерфейса командной строки, такой как окно telnet, которое не контролирует предельный диалог. Необходимо только включить отладку на автономном режиме (лабораторная среда) оборудование или во время окна планового техобслуживания, потому что при включении отладки это может существенно влиять на производительность маршрутизатора.


Дополнительные сведения


Document ID: 108012