Безопасность : Межсетевой экран Cisco IOS

Зональный брандмауэр Cisco IOS: Одиночный сайт или офис филиала CME/CUE/GW с магистралью SIP к CCM в главном офисе

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Маршрутизаторы Интегрированного сервиса Cisco (ISR) предлагают масштабируемую платформу адресным сведениям и требованиям голосовой сети для широкого диапазона приложений. Несмотря на то, что среда угрозы и частных и подключенных к Интернету сетей очень динамическое окружение, Cisco, который Межсетевой экран IOS� предлагает проверке трафика потоком и Контролю приложения и Контролю (AIC) возможности определить и принудить положение защищенной сети, в то время как это включает бизнес-возможность и непрерывность.

Этот документ описывает дизайн и обсуждения конфигурации для аспектов межсетевой защиты определенного Cisco основанные на ISR данные и сценарии голосового приложения. Конфигурации для голосовых сервисов и межсетевого экрана предоставлены для каждого сценария приложения. Каждый сценарий описывает VoIP и конфигурации безопасности отдельно, придерживавшийся всей конфигурацией маршрутизатора. Сеть возможно может потребовать другой конфигурации для сервисов, таких как QoS и VPN, для поддержания качества голосовой связи и конфиденциальности.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Общие сведения межсетевого экрана IOS

Межсетевой экран Cisco IOS, как правило, развертывается в сценариях приложения, которые отличаются от моделей развертывания межсетевых экранов устройства. Типичные развертывания включают приложения Удаленного сотрудника, маленькие - или сайты филиала компании и розничные приложения, где требуются низкое количество устройства, интеграция множественного обслуживания, и низшая производительность и глубина возможностей по обеспечению безопасности.

В то время как приложение контроля межсетевого экрана, вместе с другими интегрированными сервисами в продуктах ISR, может казаться привлекательным от стоимости и в рабочем состоянии перспективы, определенные факторы должны быть оценены, чтобы определить, является ли основанный на маршрутизаторе межсетевой экран соответствующим. Если недостаточно мощное основанное на Интегрированном маршрутизаторе решение развернуто, приложение каждой дополнительной характеристики подвергается памяти и затратам на обработку, и может, вероятно, способствовать уменьшенным скоростям производительности пересылки, увеличенная задержка передачи пакетов, и потеря функциональных возможностей в течение периодов пиковой нагрузки. Наблюдайте эти рекомендации, когда вы решите между маршрутизатором и устройством:

  • Маршрутизаторы со множественными интегрированными активированными опциями лучше всего подходят для филиала компании или узлов удаленного пользователя, где меньше устройств предлагает лучшее решение.

  • Высокая пропускная способность, высокоэффективные приложения, как правило, лучше обращаются с устройствами; Cisco ASA и Cisco, Унифицированный Сервер Call Manager должен быть применен для обработки NAT и приложения политики безопасности и обработки вызовов, в то время как маршрутизаторы обращаются к приложению политики QoS, завершению глобальной сети (WAN) и сквозным VPN-соединение требованиям подключения.

До введения версии программного обеспечения Cisco IOS 12.4 (20) T Классический Межсетевой экран и Zone-Based Policy межсетевой экран (ZFW) были неспособны к полностью возможностям поддержки, требуемым для Трафика VoIP и основанных на маршрутизаторе голосовых сервисов, которые потребовали, чтобы большие разрывы в в противном случае безопасной политике межсетевого экрана приняли голосовой трафик и предложили ограниченную поддержку развития протоколы сред и VoIP передача сигналов.

Разверните Zone-Based Policy межсетевой экран Cisco IOS

Если требования безопасности сети определены и описаны политикой безопасности, Zone-Based Policy межсетевой экран Cisco IOS, подобный другим межсетевым экранам, может только предложить безопасный межсетевой экран. Существует два фундаментальных подхода для достижения политики безопасности: доверчивая перспектива, в противоположность подозрительной перспективе.

Доверчивая перспектива предполагает, что весь трафик защищен, за исключением того, что, который может быть специально определен как злонамеренный или нежелательный. Определенная политика внедрена, который запрещает только нежелательный трафик. Это, как правило, выполняется посредством использования определенные записи контроля доступа или подпись - или основанные на поведении программные средства. Этот подход имеет тенденцию вмешиваться меньше в существующие приложения, но требует всестороннего знания среды угрозы и уязвимости и требует, чтобы постоянная бдительность обратилась к новым угрозам и использованию, как они появляются. Кроме того, сообщество пользователей должно играть значительную роль в обслуживании соответствующей безопасности. Среда, которая позволяет широкую свободу с небольшим контролем для жителей, предлагает существенную возможность для проблем, вызванных небрежными или злонамеренными частными лицами. Дополнительная проблема этого подхода состоит в том, что он полагается намного больше на программные средства эффективного управления и управление приложениями, которое предлагает достаточную гибкость и производительность, чтобы быть в состоянии контролировать и управлять подозрительными данными во всем сетевом трафике. В то время как технология в настоящее время доступна для размещения этого, в рабочем состоянии нагрузка часто превышает пределы большинства организаций.

Подозрительная перспектива предполагает, что весь сетевой трафик нежелателен, за исключением специально определенного хорошего трафика. Это - политика, которая применена, который запрещает весь трафик приложения, за исключением того, что, который явно разрешен. Кроме того, контроль приложения и контроль (AIC) могут быть внедрены, чтобы определить и запретить вредоносный трафик, который в частности обработан для использования хороших приложений, а также нежелательного трафика, который подменяет хорошим трафиком. Снова, управление приложениями налагает в рабочем состоянии и трудности производительности в сети, невзирая на то, что большая часть нежелательного трафика должна управляться фильтрами не сохраняющими состояние, такими как списки управления доступом (ACL) или Zone-Based Policy межсетевой экран (ZFW) политика, таким образом, существует существенно меньше трафика, который должен быть обработан AIC, системой предотвращения вторжений (IPS) или другими основанными на подписи средствами управления, такими как гибкое пакетное соответствие (FPM) или сетевое распознавание приложений (NBAR). Если только портам требуемого приложения (и динамический специфичный для сред трафик, являющийся результатом известных контрольных соединений или сеансов), в частности разрешают, единственный нежелательный трафик, который присутствует в сети, должен попасть в определенное, more-easily-recognized подмножество, которое уменьшает техническую и в рабочем состоянии нагрузку, наложенную для обеспечивания контроля над нежелательным трафиком.

Этот документ описывает конфигурации безопасности VoIP на основе подозрительной перспективы, поэтому только трафик, который допустим в сегментах голосовой сети, разрешен. Политика данных имеет тенденцию быть более разрешающей, как описано примечаниями в конфигурации каждого сценария приложения.

Все развертывания политики безопасности должны придерживаться цикла замкнутой петли обратной связи; развертывания безопасности, как правило, влияют на возможность и функциональность существующих приложений и должны быть отрегулированы, чтобы минимизировать или решить это влияние.

При необходимости дополнительных общих сведений для настройки Zone-Based Policy межсетевого экрана, рассмотрите Зональное Руководство по дизайну Межсетевого экрана и Руководство по приложениям.

Факторы для ZFW в средах VoIP

Зональное Руководство по дизайну Межсетевого экрана и Руководство по приложениям предлагают краткое обсуждение о безопасности маршрутизатора с использованием политики безопасности к и от сам зона маршрутизатора, а также альтернативные возможности, которые предоставлены через различные функции Сетевой защиты основы (NFP). Основанные на маршрутизаторе возможности VoIP размещены в сам зона маршрутизатора, таким образом, политика безопасности, которая защищает маршрутизатор, должна знать о требованиях для голосового трафика для размещения голосовой сигнализации и сред, инициируемых и предназначенный к Cisco Unified CallManager Express, Survivable Remote Site Telephony и ресурсам Голосового шлюза. До версии программного обеспечения Cisco IOS 12.4 (20) T, Классического Межсетевого экрана и Zone-Based Policy межсетевого экрана было неспособно полностью принять требования Трафика VoIP, таким образом, политика межсетевого экрана не была оптимизирована, чтобы полностью защитить ресурсы. Политика самоzone security, которая защищает основанные на маршрутизаторе ресурсы VoIP, полагается в большой степени на возможности, представленные в 12.4 (20) T.

Голосовые характеристики межсетевого экрана IOS

Программное обеспечение Cisco IOS версии 12.4(20)T представило несколько усовершенствований для включения совместно расположенного Зонального Межсетевого экрана и мощностей речевого сигнала. Три основных характеристики применяются непосредственно для обеспечения голосовых приложений:

  • Усовершенствования SIP: шлюз уровня приложения и контроль приложения и контроль

    • Поддержка версии SIP обновлений к SIPv2, как описано RFC 3261

    • Расширяет поддержку сигнализации SIP для распознавания более широкого разнообразия диаграмм вызовов

    • Представляет Контроль приложения SIP и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

    • Разворачивает самозональный контроль, чтобы быть в состоянии распознать вторичную сигнализацию и каналы сред тот результат locally-destined/-originated трафик SIP

  • Поддержка Skinny локального трафика и CME

    • SCCP обновлений поддерживает к версии 16 (ранее поддерживаемая версия 9)

    • Представляет Контроль приложения SCCP и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

    • Разворачивает самозональный контроль, чтобы быть в состоянии распознать вторичную сигнализацию и каналы сред, которые следуют из locally-destined/-originated трафика SCCP

  • Поддержка H.323 версий 3 и 4

    • H.323 обновлений поддерживает к версиям 3 и 4 (ранее поддерживаемые версии 1 и 2)

    • Представляет Контроль приложения H.323 и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

Конфигурации безопасности маршрутизатора, описанные в этом документе, включают возможности, предлагаемые этими усовершенствованиями с пояснениями для описания действия, примененного политикой. Если вы хотите рассмотреть завершенные подробные данные для речевых функций контроля, гиперссылки к документам отдельной функции доступны в Разделе связанных сведений этого документа.

Предупреждения

Для подтверждения точек зрения, упомянутых ранее, приложение межсетевого экрана Cisco IOS с основанными на маршрутизаторе мощностями речевого сигнала должно применить Zone-Based Policy межсетевой экран. Классический Межсетевой экран IOS не включает необходимую возможность полностью поддержать сигнальные сложности или поведение голосового трафика.

Network Address Translation (NAT)

Трансляция сетевого адреса Cisco IOS (NAT) часто настраивается одновременно с межсетевым экраном Cisco IOS, особенно в случаях, где частные сети должны взаимодействовать с Интернетом, или если разрозненные частные сети должны соединиться, особенно если накладывается пространство IP-адресов. Программное обеспечение Cisco IOS включает шлюзы уровня приложения NAT (ALGs) для SIP, Skinny, и H.323. Идеально, сетевое подключение для голоса IP может быть принято без приложения NAT, так как NAT представляет дополнительную сложность устранению проблем и приложениям политики безопасности, особенно в случаях, где используется перегрузка NAT. NAT может только быть применен как решение последнего случая обратиться к проблемам сетевого подключения.

Унифицированный клиент присутствия Cisco (CUPC)

Этот документ не описывает конфигурацию, которая поддерживает использование унифицированного клиента присутствия Cisco (CUPC) с Межсетевым экраном IOS, так как CUPC еще не поддерживается Зональным или Классическим Межсетевым экраном с Cisco IOS Software Release 12.4 (20) T1. CUPC будет поддерживаться в будущем выпуске программного обеспечения Cisco IOS.

CME/CUE/GW Одиночный Сайт или Филиал компании с магистралью SIP к CCM в HQ или Речевом Поставщике

Этот сценарий предлагает компромисс между single-site/distributed call-processing/PSTN-connected модель, описанная ранее в этом документе (CME/CUE/GW Одиночный Сайт или Филиал компании, который соединяется с PSTN), и мультипомещать/централизовать обработка вызовов / сходилась сеть данных и голосовых сообщений, определенная в третьем сценарии, описанном в этом документе. Этот сценарий все еще использует локальный Cisco Unified CallManager Express, но установление междугороднего вызова и телефония HQ/remote-site приняты прежде всего через магистрали SIP от сайта к сайту с локальным набором и вызовом срочных служб через местное соединение PSTN. Даже в случаях, куда большинство устаревшего подключения PSTN удалено, базовому уровню емкости PSTN рекомендуют принять сбой основанного на глобальной сети (WAN) вызова номера обхода междугородней АТС, а также локального вызова номера, как описано схемой набора номеров. Кроме того, местные законодательства, как правило, требуют, чтобы своего рода локальное подключение PSTN было предоставлено для размещения аварийной ситуации (911) вызов номера. Этот сценарий использует обработку распределенного вызова, которая предлагает преимущества и наблюдает оптимальные методы, как описано в Cisco Unified CallManager Express SRND.

Организации могут внедрить этот тип сценария приложения при этих обстоятельствах:

  • Разрозненные среды VoIP используются между сайтами, но VoIP все еще требуется вместо дальнего PSTN.

  • Автономия сайта сайтом необходима для администрирования плана соединений.

  • Полная возможность обработки вызова необходима независимо от доступности глобальной сети (WAN).

Общие сведения сценария

Сценарий приложения включает соединенные проводом телефоны (голосовой VLAN), соединенные проводом PC (VLAN для передачи данных) и беспроводные устройства (которые включают VoIP - устройства, такие как IP-коммуникатор).

Конфигурация безопасности предоставляет их:

  1. Инициируемый в маршрутизатор сигнальный контроль между CME и местными телефонами (SCCP и SIP) и CME и удаленным кластером CUCM (SIP).

  2. Крошечные отверстия алгоритмов сжатия голосовых данных средней сложности для связи между ними:

    1. Локальный соединенный проводом и сегменты wireless

    2. CME и местные телефоны для MoH

    3. CUE и местные телефоны для голосовой почты

    4. Телефоны и объекты удаленного вызова

  3. Контроль приложения и Контроль (AIC), который может быть применен для достижения их:

    1. Ограничение скорости приглашает сообщения

    2. Гарантируйте соответствие протокола во всем трафике SIP

Преимущества/ недостатки

Это приложение предлагает преимущество уменьшенных затрат, так как это переносит голосовой трафик от сайта к сайту на каналах передачи данных глобальной сети (WAN).

Недостаток этого сценария - то, что требуется больше подробных планов для возможности подключения к глобальной сети (WAN). На качество вызова от сайта к сайту могут влиять много факторов на глобальной сети (WAN), таких как незаконнорожденный/нежелательный трафик (черви, вирусы, одноранговый совместный доступ к файлам) или трудное - для определения проблем задержки, которые могут возникнуть в результате регулирования трафика на коммуникационных сетях. Подключения к глобальной сети (WAN) должны быть измерены соответственно для предложения достаточной пропускной способности для обоих трафиков речевых пакетов и пакетов данных; меньше трафика уязвимых данных задержки, например, электронная почта, трафик файла SMB/CIFS, может быть классифицировано как трафик с более низким приоритетом для QoS для сохранения качества голосовой связи.

Другая проблема с этим сценарием является отсутствием централизованной обработки вызовов и трудностей, которые могут возникнуть в устранении проблем сбоев обработки вызова. Также, этот сценарий работает лучше всего для более крупных организаций как промежуточный шаг в миграцию к централизованной обработке вызовов. CME Локального Cisco могут быть преобразованы для действия как полнофункциональный переход SRST в аварийный режим, поскольку завершена миграция к Сisco CallManager.

С точки зрения безопасности повышенная сложность этой среды делает реализацию эффективной безопасности и устранение проблем более трудного, потому что подключение по глобальной сети (WAN), или по VPN на общедоступном Интернете, существенно увеличивает среду угрозы, особенно в случаях, где политика безопасности требует доверчивой перспективы, где мало ограничения введено для трафика по глобальной сети (WAN). С этим в памяти, примеры конфигурации, предоставленные этим документом, внедряют более подозрительную политику, которая позволяет определенный важный с коммерческой точки зрения трафик, который тогда исследован проверками соответствия протокола. Кроме того, определенные действия VoIP, т.е. SIP INVITE, ограничены для сокращения вероятности злонамеренного или неумышленного неправильного функционирования программного обеспечения, которое негативно влияет на ресурсы VoIP и удобство пользования.

Настройка

Конфигурации для политики данных, зонального межсетевого экрана, речевой безопасности, CCME

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-1.gif

Конфигурации

Конфигурация, описанная здесь, иллюстрирует маршрутизатор Cisco ISR 2851.

Эти конфигурации используются в данном документе:

  • Конфигурация голосового сервиса для CME и подключения CUE

  • Конфигурация Zone-Based Policy межсетевого экрана

  • Конфигурация безопасности

Это - Конфигурация Голосового сервиса для подключения CUE и CME:

Конфигурация голосового сервиса для CME и подключения CUE

!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13

!

Это - Конфигурация Zone-Based Policy межсетевого экрана, составленная из зон безопасности для проводного и сегментов беспроводной локальной сети, частная локальная сеть (LAN) (составленный из проводных и сегментов wireless), сегмент глобальной сети (WAN), где доверяемая возможность подключения к глобальной сети (WAN) достигнута, и сам зона, где расположены речевые ресурсы маршрутизатора:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-2.gif

Это - Конфигурация безопасности:

Конфигурация безопасности
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp

!
!

policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass

!

zone security private
zone security public
zone security wired
zone security wireless

!

zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap

!
!
!

interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

!

hostname 2851-cme2

!
!

logging message-counter syslog
logging buffered 51200 warnings

!

no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring

!

dot11 syslog
ip source-route

!
!

ip cef
no ip dhcp use vrf connected

!

ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com

!

ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1

!
!

ip domain name yourdomain.com

!

no ipv6 cef
multilink bundle-name authenticated

!
!
!
!

voice translation-rule 1
 rule 1 // /1001/

!
!

voice translation-profile default
 translate called 1

!
!

voice-card 0
 no dspfarm

!
!
!
!
!

interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

!

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

!

interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0

!

interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

!

interface FastEthernet0/2/0

!

interface FastEthernet0/2/1

!

interface FastEthernet0/2/2

!

interface FastEthernet0/2/3

!

interface Vlan1
 ip address 198.41.9.15 255.255.255.0

!

router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary

!

ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui

!
!

ip nat inside source list 111 interface 
   GigabitEthernet0/0 overload

!

access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   
   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any

!
!
!
!
!
!

tftp-server flash:/phone/7940-7960/
   P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/
   P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/
   P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/
   P00308000400.sbn alias P00308000400.sbn

!

control-plane

!
!
!

voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable

!

voice-port 0/0/1
 description FXO

!

voice-port 0/1/0
 description FXS

!

voice-port 0/1/1
 description FXS

!
!
!
!
!

dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10

!

dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register

!
!
!
!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 
   7960 Jun 10 2008 15:47:13

!
!

ephone-dn  1
 number 1001
 trunk A0

!
!

ephone-dn  2
 number 1002

!
!

ephone-dn  3
 number 3035452366
 label 2366
 trunk A0

!
!

ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3

!
!
!

ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3

!
!
!

ephone  5
 device-security-mode none

!
!
!

line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh

!

exception data-corruption buffer truncate
scheduler allocate 20000 1000
ntp server 172.16.1.1
end

Условие, управляйте, и монитор

Условие и конфигурация и для основанных на маршрутизаторе ресурсов IP-телефонии и для Zone-Based Policy межсетевого экрана обычно лучше всего снабжены Cisco Configuration Professional. Менеджер Cisco Secure не поддерживает зональный межсетевой экран Политики или основанную на маршрутизаторе IP-телефонию.

Межсетевой экран Классика Cisco IOS поддерживает SNMP, контролирующий с Cisco Унифицированный MIB Межсетевого экрана, но Zone-Based Policy межсетевой экран еще не поддерживается в Унифицированном MIB Межсетевого экрана. Также, мониторинг межсетевого экрана должен быть обработан через статистику на интерфейсе командной строки маршрутизатора, или с программными средствами GUI, такими как Cisco Configuration Professional.

Cisco Secure, Отслеживающий и сообщающий Систему (MARS CS), предлагает основную поддержку для Zone-Based Policy межсетевого экрана, невзирая на то, что регистрируя изменения, которые улучшили корреляцию сообщения журнала до трафика, которые были внедрены в 12.4 (15) T4/T5 и 12.4 (20) T, полностью еще не поддерживались в MARS CS.

Планы емкости

Результаты тестирования производительности контроля вызова межсетевого экрана из Индии являются TBD.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Межсетевой экран Зоны Cisco IOS предоставляет, показывают и команды отладки, чтобы просмотреть, контролировать, и устранить неполадки действия межсетевого экрана. Если обсуждение с технической поддержкой требует более подробной информации, этот раздел описывает использование команд показа для мониторинга основного действия межсетевого экрана и введения к командам отладки Зонального Межсетевого экрана для устранения проблем конфигурации или.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Межсетевой экран Cisco IOS предлагает несколько команд показа для просмотра конфигурации политики безопасности и действия. Многие из этих команд могут быть заменены более короткой командой через приложение команды alias.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Команды отладки могут быть полезными, если вы используете нетипичное или неподдерживаемую конфигурацию, и должны работать с Центром технической поддержки Cisco или услугами технической поддержки других продуктов для решения проблем совместимости.

Примечание: Приложение команд отладки к определенным возможностям или трафику может вызвать очень большое число консольных сообщений, которое заставляет консоль маршрутизатора становиться безразличной. В даже, что необходимо отладить, можно обеспечить альтернативный доступ интерфейса командной строки, такой как окно Telnet, которое не контролирует предельный диалог. Только включите отладку на автономном режиме (лабораторная среда) оборудование или в окне планового техобслуживания, так как отладка может существенно влиять на производительность маршрутизатора.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 108013