Безопасность : Межсетевой экран Cisco IOS

Основанный на зоне IOS межсетевой экран: Пример конфигурации одиночного сайта CME/CUE/GW или подключения PSTN в офисе филиала

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Маршрутизаторы Интегрированного сервиса Cisco (ISR) предлагают масштабируемую платформу адресным сведениям и требованиям голосовой сети для широкого диапазона приложений. Несмотря на то, что среда угрозы и частных и подключенных к Интернету сетей очень динамическое окружение, межсетевой экран Cisco IOS предлагает проверку трафика потоком и Контроль приложения и Контроль (AIC) возможности определить и принудить положение защищенной сети при включении бизнес-возможности и непрерывности.

Этот документ описывает дизайн и обсуждения конфигурации для аспектов межсетевой защиты определенной Cisco основанные на ISR данные и сценарии голосового приложения. Конфигурация для голосовых сервисов и межсетевого экрана предоставлена для каждого сценария приложения. Каждый сценарий описывает VoIP и конфигурации безопасности отдельно, придерживавшийся всей конфигурацией маршрутизатора. Ваша сеть может потребовать, чтобы другая конфигурация для сервисов, таких как QoS и VPN поддержала качество голосовой связи и конфиденциальность.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения межсетевого экрана IOS

Межсетевой экран Cisco IOS, как правило, развертывается в сценариях приложения, которые отличаются от моделей развертывания межсетевых экранов устройства. Типичные развертывания включают приложения Удаленного сотрудника, маленькие - или узлы филиала компании и розничные приложения, где желаемы низкое количество устройства, интеграция множественного обслуживания, и низшая производительность и глубина возможностей по обеспечению безопасности.

В то время как приложение контроля межсетевого экрана, наряду с другими интегрированными сервисами в продуктах ISR, могло бы казаться привлекательным от стоимости и в рабочем состоянии перспективы, определенные факторы должны быть оценены, чтобы определить, является ли основанный на маршрутизаторе межсетевой экран соответствующим. Если недостаточно мощное основанное на Интегрированном маршрутизаторе решение развернуто, приложение каждой дополнительной характеристики подвергается памяти и затратам на обработку и будет, вероятно, способствовать уменьшенным скоростям производительности пересылки, увеличенная задержка передачи пакетов, и потеря функциональных возможностей в течение периодов пиковой нагрузки.

Придерживайтесь этих рекомендаций, когда вы решите между маршрутизатором и устройством:

  • Маршрутизаторы со множественными интегрированными активированными опциями подходят лучше всего для филиала компании или узлов удаленного пользователя, где меньше устройств предлагает лучшее решение.

  • Высокая пропускная способность, высокоэффективные приложения, как правило, лучше обращаются с устройствами: Cisco ASA и Cisco, Унифицированный Сервер Call Manager должен быть применен для обработки NAT и приложения политики безопасности и обработки вызовов, в то время как маршрутизаторы обращаются к приложению политики QoS, завершению глобальной сети (WAN) и сквозным VPN-соединение требованиям подключения.

До введения версии программного обеспечения Cisco IOS 12.4 (20) T, Классического Межсетевого экрана и Zone-Based Policy межсетевого экрана (ZFW) было неспособно к полностью возможностям поддержки, требуемым для Трафика VoIP и основанных на маршрутизаторе голосовых сервисов, требуя, чтобы большие открытия в иначе безопасной политике межсетевого экрана приняли голосовой трафик, и предложив ограниченную поддержку развития протоколы сред и VoIP передача сигналов.

Развертывание Zone-Based Policy межсетевого экрана Cisco IOS

Если требования безопасности сети определены и описаны политикой безопасности, Zone-Based Policy межсетевой экран Cisco IOS, подобный другим межсетевым экранам, может только предложить безопасный межсетевой экран. Существует два фундаментальных подхода для поступления в политику безопасности: доверчивая перспектива, в противоположность подозрительной перспективе.

Доверчивая перспектива предполагает, что весь трафик защищен, за исключением того, что, который может быть специально определен как злонамеренный или нежелательный. Определенная политика проводится, который запрещает только нежелательный трафик. Это, как правило, выполняется посредством использования определенные записи контроля доступа или подпись - или основанные на поведении программные средства. Этот подход имеет тенденцию вмешиваться меньше в существующие приложения, но требует всестороннего знания среды угрозы и уязвимости и требует, чтобы постоянная бдительность обратилась к новым угрозам и использованию, как они появляются. Кроме того, сообщество пользователей должно играть значительную роль в поддержании соответствующей безопасности. Среда, которая позволяет широкую свободу с небольшим контролем для жителей, предлагает существенную возможность для проблем, вызванных небрежными или злонамеренными частными лицами. Дополнительная проблема этого подхода состоит в том, что он полагается намного больше на программные средства эффективного управления и управление приложениями, которое предлагает достаточную гибкость и производительность, чтобы быть в состоянии контролировать и управлять подозрительными данными во всем сетевом трафике. В то время как технология в настоящее время доступна для размещения этого, в рабочем состоянии нагрузка часто превышает пределы большинства организаций.

Подозрительная перспектива предполагает, что весь сетевой трафик нежелателен, за исключением специально определенного хорошего трафика. Политика, которая применена, который запрещает весь трафик приложения за исключением того, что, который явно разрешен. Кроме того, контроль приложения и контроль (AIC) могут быть внедрены, чтобы определить и запретить вредоносный трафик, который в частности обработан для использования 'хороших' приложений, а также нежелательного трафика, который подменяет хорошим трафиком. Снова, управление приложениями налагает в рабочем состоянии и трудности производительности в сети, невзирая на то, что большая часть нежелательного трафика должна управляться фильтрами не сохраняющими состояние, такими как списки управления доступом (ACL) или Zone-Based Policy межсетевой экран (ZFW) политика, таким образом, должно быть существенно меньше трафика, который должен быть обработан AIC, системой предотвращения вторжений (IPS) или другими основанными на подписи средствами управления, такими как гибкое пакетное соответствие (FPM) или сетевое распознавание приложений (NBAR). Таким образом, если только порты требуемого приложения (и динамический специфичный для сред трафик, являющийся результатом известных контрольных соединений или сеансов), в частности разрешены, единственный нежелательный трафик, который должен присутствовать в сети, должен попасть в определенное, more-easily-recognized подмножество, которое уменьшает техническую и в рабочем состоянии нагрузку, наложенную для обеспечивания контроля над нежелательным трафиком.

Этот документ описывает конфигурации безопасности VoIP на основе подозрительной перспективы; таким образом только трафик, который допустим в сегментах голосовой сети, разрешен. Политика данных имеет тенденцию быть более разрешающей, как описано примечаниями в конфигурации каждого сценария приложения.

Все развертывания политики безопасности должны придерживаться цикла замкнутой петли обратной связи; развертывания безопасности, как правило, влияют на возможность и функциональность существующих приложений и должны быть отрегулированы, чтобы минимизировать или решить это влияние.

Для получения дополнительной информации о том, как настроить Zone-Based Policy межсетевой экран, обратитесь к Руководству по дизайну Zone-Based Policy межсетевого экрана межсетевого экрана Cisco IOS и Руководству по приложениям.

Факторы для ZFW в средах VoIP

Руководство по дизайну Zone-Based Policy межсетевого экрана межсетевого экрана Cisco IOS и Руководство по приложениям предлагают краткое обсуждение для обеспечения маршрутизатора с использованием политики безопасности к и от маршрутизатора сам зона, а также альтернативные возможности, которые предоставлены через различные функции Сетевой защиты основы (NFP). Основанные на маршрутизаторе возможности VoIP размещены в маршрутизаторе сам зона, таким образом, политика безопасности, которая защищает маршрутизатор, должна знать о требованиях для голосового трафика, для размещения голосовой сигнализации и сред, инициируемых и предназначенный к Cisco Unified CallManager Express, Survivable Remote Site Telephony и ресурсам Голосового шлюза. До версии программного обеспечения Cisco IOS 12.4 (20) T, Классического Межсетевого экрана и Zone-Based Policy межсетевого экрана было неспособно полностью принять требования Трафика VoIP, таким образом, политика межсетевого экрана не была оптимизирована, чтобы полностью защитить ресурсы. Политика самоzone security, которая защищает основанные на маршрутизаторе ресурсы VoIP, полагается в большой степени на возможности, представленные в 12.4 (20) T.

Речевые усовершенствования межсетевого экрана IOS – 12.4 (20) T

Программное обеспечение Cisco IOS версии 12.4(20)T представило несколько усовершенствований для включения совместно расположенного Зонального Межсетевого экрана и мощностей речевого сигнала. Три основных характеристики применяются непосредственно для обеспечения голосовых приложений:

  • Усовершенствования SIP: шлюз уровня приложения и контроль приложения и контроль

    • Поддержка версии SIP обновлений к SIPv2, как описано RFC 3261

    • Расширяет поддержку сигнализации SIP для распознавания более широкого разнообразия диаграмм вызовов

    • Представляет Контроль приложения SIP и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

    • Разворачивает самозональный контроль, чтобы быть в состоянии распознать вторичную сигнализацию и каналы сред, следующие locally-destined/-originated трафик SIP

  • Поддержка Skinny локального трафика и CME

    • SCCP обновлений поддерживает к версии 16 (ранее поддерживаемая версия 9)

    • Представляет Контроль приложения SCCP и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

    • Разворачивает самозональный контроль, чтобы быть в состоянии распознать вторичную сигнализацию и каналы сред, следующие locally-destined/-originated трафик SCCP

  • Поддержка H.323 v3/v4

    • H.323 обновлений поддерживает к v3 и v4 (ранее поддерживаемый v1 и v2)

    • Представляет Контроль приложения H.323 и Контроль (AIC) для применения гранулированных средств управления для адресации к определенным уязвимостям уровня приложения и использованию

Конфигурации безопасности маршрутизатора, описанные в этом документе, включают возможности, предлагаемые этими усовершенствованиями с пояснением для описания действия, примененного политикой. Для завершенных подробных данных о речевых функциях контроля обратитесь к документам отдельной функции, перечисленным в Разделе связанных сведений этого документа

Предупреждения

Для подтверждения точек зрения, упомянутых ранее, приложение межсетевого экрана Cisco IOS с основанными на маршрутизаторе мощностями речевого сигнала должно применить Zone-Based Policy межсетевой экран. Классический Межсетевой экран IOS не включает необходимую возможность полностью поддержать сигнальные сложности и поведение голосового трафика.

Преобразование сетевых адресов

Трансляция сетевого адреса Cisco IOS (NAT) часто настраивается одновременно с межсетевым экраном Cisco IOS, особенно в случаях, где частные сети должны взаимодействовать с Интернетом, или если разрозненные частные сети должны соединиться, особенно если используется перекрывающееся пространство IP-адресов. Программное обеспечение Cisco IOS включает шлюзы уровня приложения NAT (ALGs) для SIP, Skinny, и H.323. Идеально, сетевое подключение для голоса IP может быть принято без приложения NAT, поскольку NAT представляет дополнительную сложность устранению проблем и приложениям политики безопасности, особенно в случаях, где используется перегрузка NAT. NAT должен только быть применен как последнее решение для случая обратиться к проблемам сетевого подключения.

Клиент Cisco Unified Presence

Этот документ не описывает конфигурации, которые поддерживают использование унифицированного клиента присутствия Cisco (CUPC) с Межсетевым экраном IOS, поскольку CUPC еще не поддерживается Зональным или Классическим Межсетевым экраном с Cisco IOS Software Release 12.4 (20) T1. CUPC будет поддерживаться в будущем выпуске программного обеспечения Cisco IOS.

CME/CUE/GW Одиночное Подключение PSTN Узла или Ответвления

Этот сценарий представляет безопасную основанную на маршрутизаторе телефонию Передачи голоса по IP для малого и среднего бизнеса одиночного узла или для более крупных организаций для нескольких местоположений, которые хотят развернуть обработку распределенного вызова, поддерживая наследуемые подключения к Открытой коммутируемой телефонной сети (PSTN). Контроль за вызовом VoIP принят через приложение Cisco Unified Call Manager Express.

Подключение PSTN может быть поддержано в долгосрочной перспективе или может быть перемещено на установившуюся глобальную сеть IP речи и данных, как описано примером приложения, обсужденным в CME/CUE/GW Одиночный Узел или Филиал компании с магистралью SIP к CCM в HQ или Речевом разделе Поставщика этого документа.

Организации должны рассмотреть реализацию этого типа сценария приложения для обстоятельств, где разрозненные среды VoIP используются между узлами или если VoIP непрактичен из-за несоответствующей возможности подключения данных глобальной сети (WAN) или специфичных для локали ограничений на использование VoIP на сетях передачи данных. Преимущества и оптимальные методы IP-телефонии одиночного узла описаны в Cisco Unified CallManager Express SRND.

Общие сведения сценария

Сценарий приложения включает соединенные проводом телефоны (голосовой VLAN), соединенные проводом PC (VLAN для передачи данных) и беспроводные устройства (которые включают VoIP - устройства, такие как IP-коммуникатор).

Конфигурация безопасности предоставляет:

  • Инициируемый в маршрутизатор сигнальный контроль между CME и местными телефонами (SCCP и/или SIP)

  • Крошечные отверстия алгоритмов сжатия голосовых данных средней сложности для связи между:

    • Локальные проводные и беспроводные сегменты

    • CME и местные телефоны для MoH

    • CUE и местные телефоны для голосовой почты

  • Примените контроль приложения и управляйте (AIC) к:

    • Ограничение скорости приглашает сообщения

    • Гарантируйте соответствие протокола во всем трафике SIP.

isr_config_01_108014.gif

Преимущества и недостатки

Большая часть очевидного преимущества аспекта VoIP сценария является способом перехода, предлагаемым путем интеграции существующих голосовых данных - и инфраструктура сети передачи данных в существующей среде POTS/TDM, прежде, чем переместить в объединенный голос / сеть передачи данных для сервисов телефонии к миру вне LAN. Номера телефона поддержаны для меньших компаний, и существующую Centrex или сервис DID можно покинуть на месте для более крупных организаций, которые желают подготовленной миграции к пакетной телефонии обхода междугородней АТС.

Недостатки включают потерю снижения затрат, которое могло быть понято с обходом междугородней АТС путем перемещения в установившуюся сеть данных и голосовых сообщений, а также ограничения на вызов гибкости и отсутствия интеграции связи всей организации и мобильности, которая могла быть понята с полностью установившейся сетью данных и голосовых сообщений.

С точки зрения безопасности эта среда типа сети минимизирует угрозы безопасности VoIP путем предотвращения воздействия ресурсов VoIP к открытой сети или глобальной сети (WAN). Однако Cisco Call Manager Express, встроенный в маршрутизаторе, все еще был бы уязвим для внутренних угроз, таких как вредоносный трафик или неправильно функционирующий трафик приложения. Таким образом политика проводится, который позволяет специфичный для голоса трафик, который встречает проверки соответствия протокола, и определенные действия VoIP (т.е. SIP INVITE) ограничены, чтобы уменьшить вероятность злонамеренного или неумышленного неправильного функционирования программного обеспечения негативно влияние на ресурсы VoIP и удобство пользования.

Политика данных, зональный межсетевой экран, речевая безопасность и конфигурации CCME

Конфигурация, описанная здесь, иллюстрирует 2851 с конфигурацией Голосового сервиса для подключения CUE и CME:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

Конфигурация Zone-Based Policy межсетевого экрана, составленная из зон безопасности для проводного и сегментов беспроводной локальной сети, частная локальная сеть (LAN) (составленный из проводных и беспроводных сегментов), общий сегмент глобальной сети (WAN), где недоверяемое интернет-соединение достигнуто, и сам зона, где расположены речевые ресурсы маршрутизатора.

/image/gif/paws/108014/isr_config_02_108014.gif

Конфигурация безопасности
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Вся конфигурация маршрутизатора
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2851-cme2
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com
!
ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1
!
!
ip domain name yourdomain.com
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
voice translation-rule 1
 rule 1 // /1001/
!
!
voice translation-profile default
 translate called 1
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0
!
interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/2/0
!
interface FastEthernet0/2/1
!
interface FastEthernet0/2/2
!
interface FastEthernet0/2/3
!
interface Vlan1
 ip address 198.41.9.15 255.255.255.0
!
router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui
!
!
ip nat inside source list 111 interface GigabitEthernet0/0 overload
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any
!
!
!
!
!
!
tftp-server flash:/phone/7940-7960/P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/P00308000400.sbn alias P00308000400.sbn
!
control-plane
!
!
!
voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable
!
voice-port 0/0/1
 description FXO
!
voice-port 0/1/0
 description FXS
!
voice-port 0/1/1
 description FXS
!
!
!
!
!
dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10
!
dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register
!
!
!
!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!
!
ephone-dn  1
 number 1001
 trunk A0
!
!
ephone-dn  2
 number 1002
!
!
ephone-dn  3
 number 3035452366
 label 2366
 trunk A0
!
!
ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3
!
!
!
ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3
!
!
!
ephone  5
 device-security-mode none
!
!
!
line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
ntp server 172.16.1.1
end

Инициализация, менеджмент и мониторинг

Инициализация и конфигурация и для основанных на маршрутизаторе ресурсов IP-телефонии и для Zone-Based Policy межсетевого экрана обычно лучше всего снабжается Cisco Configuration Professional. Менеджер CiscoSecure не поддерживает зональный межсетевой экран Политики или основанную на маршрутизаторе IP-телефонию.

Межсетевой экран Классики Cisco IOS поддерживает SNMP, контролирующий с Cisco Унифицированный MIB Межсетевого экрана. Однако Zone-Based Policy межсетевой экран еще не поддерживается в Унифицированном MIB Межсетевого экрана. Также, мониторинг межсетевого экрана должен быть обработан через статистику по интерфейсу командной строки маршрутизатора, или с программными средствами GUI, такими как Cisco Configuration Professional.

CiscoSecure, Отслеживающий и сообщающий Систему (MARS CS), предлагает основную поддержку для Zone-Based Policy межсетевого экрана, невзирая на то, что регистрируя изменения, которые улучшили корреляцию сообщения журнала до трафика, которые были внедрены в 12.4 (15) T4/T5 и 12.4 (20), T полностью еще не поддерживались в MARS CS.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Межсетевой экран Зоны Cisco IOS предоставляет, показывают и команды отладки, чтобы просмотреть, контролировать, и устранить неполадки действия межсетевого экрана. Этот раздел предоставляет введение Зональным командам отладки Межсетевого экрана, которые предоставляют подробные сведения об устранении проблем.

Команды "debug"

Команды отладки полезны, если вы используете нетипичное или неподдерживаемую конфигурацию и должны работать с Центром технической поддержки Cisco или услугами технической поддержки других продуктов для решения проблем совместимости.

Примечание: Приложение команд отладки к определенным возможностям или трафику может вызвать очень большое число консольных сообщений, которые заставляют консоль маршрутизатора становиться безразличной. В даже, что необходимо включить отладку, вы могли бы хотеть обеспечить альтернативный доступ интерфейса командной строки, такой как окно telnet, которое не контролирует предельный диалог. Необходимо только включить отладку на офлайновом (лабораторная среда) оборудование или во время окна планового техобслуживания, поскольку разрешающий отладку мог бы существенно влиять на производительность маршрутизатора.


Дополнительные сведения


Document ID: 108014