Безопасность : Устройства защиты Cisco PIX серии 500

Использование команд nat, global, static, conduit, access-list и функции перенаправления портов (пересылки) в PIX

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (24 октября 2008) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Схема сети
Начальная конфигурация
Разрешение исходящего доступа
      Разрешение некоторым внутренним узлам доступа к внешним сетям
      Разрешение остальным внутренним узлам доступа к внешним сетям
      Разрешение внутренним узлам доступа к зоне DMZ без преобразования
      Ограничение доступа внутренних узлов к внешним сетям
Разрешение ненадежным узлам доступа к узлам своей надежной сети
      Использование туннелей в PIX версии 4.4.5 и выше
      Использование списков ACL в ПО PIX версии 5.0.1 и выше
Отключение NAT
Перенаправление портов в PIX командой Static
      Схема сети — перенаправление портов
      Частичная конфигурация PIX — перенаправление портов
Внешнее NAT
      Схема сети — внешнее NAT
      Частичная конфигурация PIX — внешнее NAT
Поиск и устранение неисправностей
Информация, которую необходимо собрать и предоставить при обращении в Центр технической поддержки
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

Для максимального повышения безопасности при реализации брандмауэра Cisco Secure PIX важно знать, как пакеты передаются между интерфейсами с высоким уровнем безопасности и интерфейсами с низким уровнем безопасности, используя команды nat, global, static и conduit или access-list и access-group в программном обеспечении PIX версий 5.0 и более поздних. В данном документе объясняются различия между этими командами, а также способы настройки перенаправления порта в версии ПО PIX 6.0 и функция преобразования сетевых адресов (NAT), добавленная в ПО PIX версии 6.2.

Дополнительную информацию об основных конфигурациях NAT и преобразовании адресов портов (PAT) для устройств безопасности Cisco PIX серии 500 см. в Инструкции по PIX/ASA 7.x NAT и PAT.

Дополнительную информацию об основных конфигурациях NAT и PAT для брандмауэра Cisco Secure PIX см. в документе Использование инструкций NAT и PAT для брандмауэра Cisco Secure PIX.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Информация, содержащаяся в данном документе приведена для следующих версий программного обеспечения.

  • ПО брандмауэра Cisco Secure PIX версии 4.4.5 и последующие

Сведения для данного документа были получены на устройствах в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. При работе в действующей сети перед применением команды необходимо изучить все возможные последствия ее выполнения.

Условные обозначения

Дополнительную информацию об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Схема сети

28b.gif

Начальная конфигурация

Имена интерфейсов:

  • nameif ethernet0 outside security0;

  • nameif ethernet1 inside security100.

Разрешение исходящего доступа

Исходящий доступ описывает подключения из интерфейса с высоким уровнем безопасности к интерфейсу с низким уровнем безопасности. К ним относятся подключения из внутренней сети к внешней, из внутренней сети к демилитаризованной зоне (DMZ), а также из зоны DMZ к внешней сети. Также сюда относятся подключения из одной зоны DMZ к другой при условии, что интерфейс источника подключения имеет более высокий уровень безопасности, чем интерфейс назначения. Это можно проверить, просмотрев конфигурацию "nameif" на PIX.

Для разрешения исходящего доступа необходимы две политики. Первая – способ преобразования. Это может быть статическое преобразование с использованием команды static или динамическое преобразование с использованием команд nat или global. Другое требование для исходящего доступа заключается в том, что при использовании списка контроля  доступа (ACL), в нем должен быть разрешен доступ узла-источника к узлу-приемнику с помощью определенного протокола и порта. По умолчанию нет ограничений доступа на исходящие соединения через PIX. Это означает, что если для исходного интерфейса не настроен ACL, тогда, по умолчанию, исходящие соединения разрешены при наличии настроенного способа преобразования.

В следующих разделах приведены примеры настройки способа преобразования и ограничения исходящего доступа с помощью ACL.

Разрешение некоторым внутренним узлам доступа к внешним сетям

Эта конфигурация предоставляет всем узлам в подсети 10.1.6.0/24 доступ к внешней сети. Для осуществления этого используются команды nat и global.

  1. Определите внутреннюю группу, которая будет участвовать в преобразовании NAT.

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Укажите пул адресов внешнего интерфейса, к которому преобразуются узлы, определенные в инструкции NAT.

    global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
    

Теперь узлы внутренней сети могут подключаться к внешним сетям. Если внутренние узлы инициируют подключение к внешней сети, их адреса преобразуются к адресу из глобального пула. Обратите внимание, что адреса назначаются из глобального пула по принципу FIFO ("первым прибыл, первым обслужен"), начиная с самого младшего адреса в пуле. Например, если узел 10.1.6.25 первым инициирует подключение к внешней сети, он получает адрес 175.1.1.3. Следующий узел получает адрес 175.1.1.4 и т. д. Это не статическое преобразование, и это преобразование истекает после периода бездействия, задаваемого командой timeout xlate чч:мм:сс.

Разрешение остальным внутренним узлам доступа к внешним сетям

Проблема состоит в том, что количество внутренних узлов превышает количество внешних адресов. Чтобы разрешить доступ всем узлам к внешней сети, используется преобразование адреса порта (PAT). Если в инструкции global указан один адрес, для этого адреса выполняется преобразование РАТ. PIX позволяет одно преобразование порта на интерфейс, и это преобразование поддерживает до 65535 активных объектов xlate на один глобальный адрес. Выполните следующие действия.

  1. Определите внутреннюю группу, которая будет участвовать в преобразовании PAT. (Использование 0 0 позволяет выбрать все внутренние узлы.)

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Укажите глобальный адрес, который будет использоваться для РАТ.

    global (outside) 1 175.1.1.65
    

При использовании РАТ необходимо помнить о следующем:

  • IP-адреса, назначаемые для РАТ, не могут принадлежать другому пулу глобальных адресов;

  • PAT не работает с приложениями H.323, серверами кэширования имен и туннельным протоколом точка-точка (PPTP). PAT работает со службой доменных имен (DNS), FTP и пассивным FTP, HTTP, почтой, процедурой удалённого вызова (RPC), rshell, Telnet, URL фильтрацией и трассировкой исходящих маршрутов;

  • Не используйте PAT при выполнении мультимедийных приложений через брандмауэр. Мультимедийные приложения могут конфликтовать с сопоставлениями портов, осуществляемыми PAT;

  • В программном обеспечении PIX версии 4.2(2) функция PAT не работает с IP-пакетами данных, поступающими в обратном порядке. Эта проблема устранена в выпуске программного обеспечения 4.2(3);

  • IP-адреса в пуле глобальных адресов, заданные командой global, требуют обратных записей DNS, чтобы гарантировать доступ ко всем внешним сетевым адресам через PIX. Чтобы создать обратные сопоставления DNS, используйте запись указателя DNS (PTR) в файле сопоставления адреса и имени для каждого глобального адреса. Без записей PTR соединение с Интернет может быть низкоскоростным или периодически пропадать, соответственно и FTP-запросы не будут функционировать.

    Например, если глобальный IP-адрес 175.1.1.3, а имя домена для брандмауэра PIX – pix.caguana.com, запись PTR будет иметь следующий вид:

    3.1.1.175.in-addr.arpa. IN PTR 
    pix3.caguana.com 
    4.1.1.175.in-addr.arpa. IN PTR 
    pix4.caguana.com & so on.

Разрешение внутренним узлам доступа к зоне DMZ без преобразования

В вышеприведенных конфигурациях используются команды nat и global, чтобы разрешить узлам внутренней сети доступ к узлам интерфейса DMZ путем преобразования исходных адресов внутренних узлов. В некоторых случаях такое преобразование нежелательно. Когда узел одного интерфейса брандмауэра PIX инициирует подключение к узлу другого интерфейса, PIX должен иметь способ сквозного преобразования IP-адреса этого узла. Даже если этот IP-адрес не требуется преобразовывать, преобразование должно быть выполнено. Поэтому, чтобы разрешить узлам внутренней сети доступ к узлам зоны DMZ, необходимо настроить преобразование, которое фактически ничего не преобразует.

Предположим, что узлам внутренней сети 10.1.6.0/24 требуется доступ к узлам сети DMZ 172.22.1.0/24:

  1. Создайте статическое преобразование между всей внутренней сетью и зоной DMZ, которое фактически не преобразует внутренние адреса.

    static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
    
  2. Создайте статическое преобразование, чтобы разрешить одному внутреннему узлу доступ к DMZ без фактического преобразования адреса этого узла.

    static (inside,dmz) 10.1.6.100 10.1.6.100
    

    Примечание. PIX автоматически добавляет маску сети 255.255.255.255.

Ограничение доступа внутренних узлов к внешним сетям

Если для исходного узла определен допустимый способ преобразования, а для PIX интерфейса источника не определен ACL, тогда исходящее подключение разрешено по умолчанию. Однако в некоторых случаях может потребоваться ограничить исходящий доступ в зависимости от источника, назначения, протокола и/или порта. Это можно осуществить при настройке ACL командой access-list и применении его к PIX интерфейсу источника подключения командой access-group. Списки ACL PIX применяются только для входящего направления. ACL доступны в программном обеспечении PIX версии 5.0.1 или выше. В более ранних версиях программного обеспечения используются инструкции "outbound" и "apply", описанные в справочнике по командам PIX.

Ниже приведен пример, когда исходящий доступ по протоколу передачи гипертекста (HTTP) разрешен для одной подсети, а всем другим узлам внешний HTTP-доступ запрещен, в то время как другой IP-трафик разрешен для всех.

  1. Определение ACL.

    access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
    

    Примечание. Списки ACL PIX отличаются от ACL на маршрутизаторах Cisco IOS тем, что PIX не использует групповую маску в отличие от Cisco IOS. Он использует стандартную маску подсети в определении ACL. Как и в случае с маршрутизаторами Cisco IOS, в конце списка ACL PIX присутствует скрытый параметр "deny all".

  2. Применение списка ACL к внутреннему интерфейсу.

    access-group acl_outbound in interface inside
    

Разрешение ненадежным узлам доступа к узлам своей надежной сети

В большей части организаций необходимо предоставлять ненадежным узлам доступ к ресурсам в своих надежных сетях. Общим примером является внутренний веб-сервер. По умолчанию PIX запрещает подключения внешних узлов к внутренним узлам. Чтобы разрешить такое подключение, используйте команды static и conduit. В программном обеспечении PIX версии 5.0.1 и выше доступны также команды access-list и access-group в дополнение к команде conduit.

Возможность использования туннелей (conduit) или списков ACL создает впечатление двухинтерфейсного PIX. Туннели связаны с направлением. К ним применяется концепция деления на внутренний и внешний. В двухинтерфейсном PIX туннель обеспечивает передачу данных из внешней области во внутреннюю. В отличие от туннелей передачи данных, списки ACL применяются к интерфейсам с помощью команды access-group. Эта команда связывает ACL с интерфейсом для проверки трафика, передаваемого в определенном направлении.

В отличие от команд nat и global, разрешающих выход для внутренних узлов, команда static создает двустороннее преобразование, разрешающее выход для внутренних узлов и вход для внешних, если созданы соответствующие туннели либо добавлены списки ACL или группы (программное обеспечение PIX версии 5.0.1 или выше).

В предыдущих примерах конфигурации PAT внешний узел, который пытается подключиться к глобальному адресу, может использоваться тысячами внутренних узлов. Команда static создает взаимнооднозначное сопоставление. Команда conduit или access-list определяет допустимый тип соединения с внутренним узлом, и ее необходимо использовать, когда узел с более низким уровнем безопасности подключается к узлу с более высоким уровнем безопасности. Команды conduit и access-list связаны и с портом, и с протоколом. Они могут разрешать доступ как в очень широких, так и в очень узких рамках, в зависимости от целей системного администратора.

Приведенная выше схема сети иллюстрирует использование этих команд для настройки PIX, чтобы разрешить любому ненадёжному узлу подключаться к внутреннему веб-серверу и позволить этому ненадёжному узлу, 199.199.199.24, получить доступ к службе FTP на этой же машине.

Использование туннелей в PIX версии 4.4.5 и выше

Выполните эти действия для программного обеспечения PIX версии 4.4.5 и выше, используя туннели.

  1. Определите статическое преобразование адреса внутреннего веб-сервера во внешний/глобальный адрес.

    static (inside,outside) 175.1.1.254 10.200.1.254
    
  2. Определите узлы, которые могут подключаться к веб-серверу или FTP-серверу, и соответствующие порты.

    conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
    

В ПО PIX версии 5.0.1 и выше, вместо туннелей можно использовать ACL с группами доступа. Туннели остались, но теперь пользователю необходимо решать, следует использовать туннели или списки контроля доступа. Не рекомендуется сочетать ACL и туннели в одной конфигурации. Если настроены и туннели и ACL, то списки контроля доступа имеют более высокий приоритет, чем туннели.

Использование списков ACL в ПО PIX версии 5.0.1 и выше

Выполните эти действия для программного обеспечения PIX версии 5.0.1 и выше, используя списки ACL.

  1. Определите статическое преобразование адреса внутреннего веб-сервера во внешний/глобальный адрес.

    static (inside, outside) 175.1.1.254 10.200.1.254
    
  2. Определите узлы, которые могут подключаться к веб-серверу или FTP-серверу, и соответствующие порты.

    access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
    
  3. Примените ACL к выходному интерфейсу.

    access-group 101 in interface outside
    

Примечание. Будьте осторожны при выполнении этих команд. Выполнение команды conduit permit ip any any или access-list 101 permit ip any any приведет к тому, что любой узел ненадежной сети сможет получить доступ к любому узлу надежной сети, используя IP, пока активно преобразование.

Отключение NAT

Если во внутренней сети есть публичный адрес и необходимо, чтобы внутренние узлы могли подключаться к внешней сети без преобразования, можно отключить NAT. Кроме того, необходимо изменить команду static.

В соответствии с примером в данном документе, команда nat изменяется, как показано ниже:

nat (inside) 0 175.1.1.0 255.255.255.0 

Если используются списки ACL в ПО PIX версии 5.0.1 и выше, следует применять следующие команды:

access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103

Эта команда отключает NAT для сети 175.1.1.0. Команда static для веб-сервера изменяется, как показано ниже:

static (inside, outside) 175.1.1.254 175.1.1.254

Следующая команда определяет туннель для веб-сервера.

conduit permit tcp host 175.1.1.254 eq www any

Если используются списки ACL в ПО PIX версии 5.0.1 и выше, следует применять следующие команды:

access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside

Помните о различии между выполнением команды nat 0 с указанием сети/маски и использованием списка ACL, который использует сеть/маску, разрешающие инициировать подключения только из внутренней сети. Использование списков ACL разрешает входящему и исходящему трафику инициировать подключения. Интерфейсы PIX должны находиться в разных подсетях, чтобы избежать проблем с доступностью.

Перенаправление портов в PIX командой Static

В PIX 6.0 была добавлена функция перенаправления портов, чтобы разрешить внешним пользователям подключаться к конкретному IP-адресу/порту и заставить PIX перенаправить трафик соответствующему внутреннему серверу, и была изменена команда static. Общий  адрес может быть уникальным адресом, общим адресом исходящего РАТ или общим с внешним интерфейсом.

Примечание. Эти команды приведены в нескольких строках из-за ограниченности места.

static [(internal_if_name, external_if_name)] 
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit 
[norandomseq]]]
static [(internal_if_name, external_if_name)] {tcp|udp} 
{global_ip|interface} 
global_port local_ip local_port [netmask mask] [max_conns 
[emb_limit [norandomseq]]]

Ниже приведены перенаправления портов для сети из примера:

  • Внешние пользователи направляют запросы Telnet на уникальный IP-адрес 172.18.124.99, а PIX перенаправляет их на 10.1.1.6;

  • Внешние пользователи направляют FTP-запросы на уникальный IP-адрес 172.18.124.99, а PIX перенаправляет их на 10.1.1.3;

  • Внешние пользователи направляют запросы Telnet на PAT-адрес 172.18.124.208, а PIX перенаправляет их на 10.1.1.4;

  • Внешние пользователи направляют запросы Telnet на IP-адрес 172.18.124.216, внешний по отношению к PIX, а PIX перенаправляет эти запросы на 10.1.1.5;

  • Внешние пользователи направляют запросы HTTP на IP-адрес 172.18.124.216, внешний по отношению к PIX, а PIX перенаправляет эти запросы на 10.1.1.5;

  • Внешние пользователи направляют запросы HTTP-порта 8080 на PAT-адрес 172.18.124.208, а PIX перенаправляет их на 10.1.1.7, порт 80.

В этом примере также блокируется доступ некоторых внутренних пользователей к внешним ресурсам с помощью списка ACL 100. Это действие является необязательным. Весь исходящий трафик разрешен при отсутствии ACL.

Схема сети — перенаправление портов

28-02.gif

Частичная конфигурация PIX — перенаправление портов

Эта частичная конфигурация демонстрирует использование статического перенаправления портов.

Частичная конфигурация PIX — перенаправление портов

fixup protocol ftp 21

!--- Использование исходящего ACL не является обязательным.

access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain 

access-list 101 permit tcp any host 172.18.124.99 eq telnet 
access-list 101 permit tcp any host 172.18.124.99 eq ftp 
access-list 101 permit tcp any host 172.18.124.208 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq www 
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 
   www netmask 255.255.255.255 0 0

!--- Использование исходящего ACL не является обязательным.


access-group 100 in interface inside
access-group 101 in interface outside

Внешнее NAT

Начиная с PIX версии 6.2, NAT и PAT можно применять к трафику, поступающему из внешнего, или менее безопасного, интерфейса, во внутренний (более безопасный) интерфейс. Иногда это преобразование называют "двунаправленное NAT".

Внешние NAT/PAT аналогичны внутренним NAT/PAT, но преобразование адреса применяется к адресам узлов, находящихся на внешних (менее безопасных) интерфейсах PIX. Чтобы настроить динамическое внешнее NAT, укажите адреса, которые необходимо преобразовывать на менее безопасном интерфейсе, а также глобальный адрес или адреса на внутреннем (более безопасном) интерфейсе. Используйте команду static для указания взаимнооднозначного сопоставления, чтобы настроить статическое внешнее NAT.

После настройки внешнего NAT, когда пакет поступает на внешний (менее безопасный) интерфейс PIX, PIX пытается найти существующую xlate (запись преобразования адреса) в базе данных соединений. Если xlate не существует, выполняется поиск политики NAT в текущей конфигурации. Если обнаружена политика NAT, то создается запись xlate и добавляется в базу данных. Затем PIX переписывает исходный адрес сопоставляемым или глобальным адресом и пересылает пакет внутреннему интерфейсу. Как только запись xlate установлена, адреса любых последующих пакетов могут быть быстро преобразованы с помощью записей в базе данных подключений.

Схема сети — внешнее NAT

28-01.gif

В этом примере:

  • Устройство 10.100.1.2 через NAT к 209.165.202.135 при исходящем подключении;

  • Устройство 209.165.202.129 через NAT к 10.100.1.3 при входящем подключении;

  • Другие устройства сети 10.100.1.x через NAT к адресам из пула 209.165.202.140-209.165.202.141 при исходящем подключении;

  • Соединение между устройством 209.165.202.129 и устройством 10.100.1.2, причем устройство 209.165.202.129 видит внутреннее устройство как 209.165.202.135, а устройство 10.100.1.2 видит трафик от устройства 209.165.202.129 как исходящий от устройства 10.100.1.3 (из-за внешнего NAT).

Разрешен доступ ко всем устройствам 209.165.202.x, используя списки ACL или каналы.

Частичная конфигурация PIX — внешнее NAT

Частичная конфигурация PIX — внешнее NAT

ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

!--- Или вместо туннелей, мы оставляем статические определения и получаем следуещее.

 
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

Поиск и устранение неисправностей

Этот раздел содержит сведения об устранении неполадок конфигурации.

  • Если используется передача ICMP-пакетов для проверки настроенного преобразования, то очень вероятен сбой передачи пакетов, как будто преобразование не работает. По умолчанию PIX блокирует ICMP сообщения, передаваемые из менее безопасных интерфейсов в более безопасные интерфейсы. Это происходит даже при наличии эхо-ответа на передачу пакетов, инициированную из внутренней сети, для проверки связи. Поэтому используйте другой способ, например Telnet, для проверки конфигурации.

  • После внесения изменений в правила преобразования на PIX обязательно выполните команду clear xlate. Это необходимо для того, чтобы старые преобразования не влияли на вновь настроенные и не нарушали их работу.

  • После настройки или изменения статических преобразований между серверами внутренней сети или зоны DMZ и внешней сети, возможно, необходимо очистить кэш протокола ARP межсетевого маршрутизатора или другого устройства следующего перехода.

Информация, которую необходимо собрать и предоставить при обращении в Центр технической поддержки

Если после выполнения перечисленных выше действий по устранению неисправностей проблема остается, соберите указанные ниже сведения и обратитесь за помощью в Центр технической поддержки Cisco (TAC).

  • Описание проблемы и имеющие к ней отношение подробности топологии

  • Действия по устранению проблемы до обращения в центр TAC

  • Выходные данные полученные после выполнения команды show tech-support

  • Выходные данные выполнения команды show log после выполнения команды logging buffered debugging или снимки консоли, характеризующие проблему (если возможно)

Вложите собранные данные в запрос в простом текстовом формате (ТХТ-файл), не архивируя файл. Информацию можно приложить к запросу путем выгрузки с помощью средства Case Query Tool (только для зарегистрированных клиентов). Если средство Case Query недоступно, необходимые данные можно отправить как вложение в электронное сообщение по адресу attach@cisco.com, указав в теме сообщения номер обращения.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 12496