Firepower Threat Defense Captures en Packet Tracer gebruiken

Inleiding

In dit document wordt beschreven hoe u Firepower Threat Defense (FTD)-hulpprogramma's voor het vastleggen en traceren van pakketten kunt gebruiken.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende softwareversies:

• ASA5515-X met FTD-software 6.1.0
• FPR4110 met FTD-software 6.2.2
• FS4000 waarop Firepower Management Center (FMC)-software 6.2.2 wordt uitgevoerd

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

FTD-pakketverwerking

De FTD-pakketverwerking wordt als volgt gevisualiseerd:

1. Een pakket komt binnen in de ingangsinterface en wordt afgehandeld door de LINA-engine.
2. Als het beleid vereist dat het pakket wordt geïnspecteerd door de Snort-engine.
3. De Snort-engine geeft een oordeel voor het pakket.
4. De LINA-engine wijst het pakket af of stuurt het door op basis van het Snort-oordeel.

Op basis van de architectuur kunnen de FTD-opnames op deze plaatsen worden gemaakt:

Configureren

Netwerkdiagram

Werken met Snort Engine Captures

Voorwaarden

Er is een Access Control Policy (ACP) toegepast op FTD die het mogelijk maakt Internet Control Message Protocol (ICMP) verkeer door te gaan. Het beleid heeft ook een inbraakbeleid toegepast:

Vereisten

1. Opname inschakelen in de FTD CLISH-modus zonder filter.
2. Ping door de FTD en controleer de opgenomen uitvoer.

Oplossing

Stap 1. Meld u aan bij de FTD-console of SSH op de br1-interface en schakel de FTD CLISH-modus zonder filter in.

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:

Op FTD 6.0.x is de opdracht:

> system support capture-traffic

Stap 2. Ping door FTD en controleer de vastgelegde uitvoer.

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
12:52:34.749945 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 1, length 80
12:52:34.749945 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 1, length 80
12:52:34.759955 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 2, length 80
12:52:34.759955 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 2, length 80
12:52:34.759955 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 3, length 80
12:52:34.759955 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 3, length 80
12:52:34.759955 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 4, length 80
12:52:34.759955 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 4, length 80
^C	<- to exit press CTRL + C

Werken met Snort Engine Captures

Vereisten

1. Opname in de FTD CLISH-modus inschakelen met behulp van een filter voor IP 192.168.101.1.
2. Ping door FTD en controleer de vastgelegde uitvoer.

Oplossing

Stap 1. Opname in de FTD CLISH-modus inschakelen met behulp van een filter voor IP 192.168.101.1.

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 192.168.101.1

Stap 2. Ping door de FTD en controleer de vastgelegde uitvoer:

13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 0, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 1, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 2, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 3, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 4, length 80

U kunt de optie -n gebruiken om de hosts en poortnummers in numeriek formaat te zien. De eerdere opname wordt bijvoorbeeld weergegeven als:

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 192.168.101.1
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 0, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 1, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 2, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 3, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 4, length 80

Voorbeelden van TCPDUMP-filters

Voorbeeld 1:

Voer deze opdracht in om de Src IP- of Dst IP = 192.168.101.1-poort en de Src- of Dst-poort = TCP/UDP 23-poort vast te leggen:

Options: -n host 192.168.101.1 and port 23

Voorbeeld 2:

Voer deze opdracht in om Src IP = 192.168.101.1 en Src-poort = TCP/UDP 23 vast te leggen:

Options: -n src 192.168.101.1 and src port 23

Voorbeeld 3:

Voer deze opdracht in om Src IP = 192.168.101.1 en Src port = TCP 23 vast te leggen:

Options: -n src 192.168.101.1 and tcp and src port 23

Voorbeeld 4:

Om Src IP = 192.168.101.1 vast te leggen en het MAC-adres van de pakketten te zien, voegt u de optie 'e' toe en voert u deze opdracht in:

Options: -ne src 192.168.101.1
17:57:48.709954 6c:41:6a:a1:2b:f6 > a8:9d:21:93:22:90, ethertype IPv4 (0x0800), length 58: 192.168.101.1.23 > 192.168.103.1.25420:
 Flags [S.], seq 3694888749, ack 1562083610, win 8192, options [mss 1380], length 0

Voorbeeld 5:

Voer deze opdracht in om af te sluiten nadat u 10 pakketten hebt vastgelegd:

Options: -n -c 10 src 192.168.101.1
18:03:12.749945 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 3758037348, win 32768, length 0
18:03:12.749945 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 1, win 32768, length 2
18:03:12.949932 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 1, win 32768, length 10
18:03:13.249971 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 3, win 32768, length 0
18:03:13.249971 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 3, win 32768, length 2
18:03:13.279969 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 5, win 32768, length 0
18:03:13.279969 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 5, win 32768, length 10
18:03:13.309966 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 7, win 32768, length 0
18:03:13.309966 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 7, win 32768, length 12
18:03:13.349972 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 9, win 32768, length 0

Voorbeeld 6:

Om een opname naar een bestand met de naam capture.pcap te schrijven en deze via FTP naar een externe server te kopiëren, voert u deze opdracht in:

Options: -w capture.pcap host 192.168.101.1
CTRL + C <- to stop the capture
> file copy 10.229.22.136 ftp / capture.pcap
Enter password for ftp@10.229.22.136:
Copying capture.pcap
Copy successful.

>

Werken met FTD LINA Engine Captures

Vereisten

1. Met behulp van deze filters twee opnames op FTD mogelijk maken:

2. Ping van host-A (192.168.103.1) naar host-B (192.168.101.1) en controleer de opnames.

Oplossing

Stap 1. De opnamen inschakelen:

> capture CAPI interface INSIDE match icmp host 192.168.103.1 host 192.168.101.1
> capture CAPO interface OUTSIDE match icmp host 192.168.101.1 host 192.168.103.1

Stap 2. Controleer de opnamen in de CLI.

Ping van host-A naar host-B:

> show capture
capture CAPI type raw-data interface INSIDE [Capturing - 752 bytes]
  match icmp host 192.168.103.1 host 192.168.101.1
capture CAPO type raw-data interface OUTSIDE [Capturing - 720 bytes]
  match icmp host 192.168.101.1 host 192.168.103.1

De twee opnamen hebben verschillende formaten vanwege de Dot1Q-header op de INSIDE-interface, zoals in dit uitvoervoorbeeld wordt getoond:

> show capture CAPI
8 packets captured
   1: 17:24:09.122338 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   2: 17:24:09.123071 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   3: 17:24:10.121392 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   4: 17:24:10.122018 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   5: 17:24:11.119714 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   6: 17:24:11.120324 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   7: 17:24:12.133660 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   8: 17:24:12.134239 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
8 packets shown

> show capture CAPO
8 packets captured
   1: 17:24:09.122765  192.168.103.1 > 192.168.101.1: icmp: echo request
   2: 17:24:09.122994  192.168.101.1 > 192.168.103.1: icmp: echo reply
   3: 17:24:10.121728  192.168.103.1 > 192.168.101.1: icmp: echo request
   4: 17:24:10.121957  192.168.101.1 > 192.168.103.1: icmp: echo reply
   5: 17:24:11.120034  192.168.103.1 > 192.168.101.1: icmp: echo request
   6: 17:24:11.120263  192.168.101.1 > 192.168.103.1: icmp: echo reply
   7: 17:24:12.133980  192.168.103.1 > 192.168.101.1: icmp: echo request
   8: 17:24:12.134194  192.168.101.1 > 192.168.103.1: icmp: echo reply
8 packets shown

Werken met FTD LINA Engine Captures – Een opname exporteren via HTTP

Vereisten

Exporteer de opnames die in het eerdere scenario zijn gemaakt met een browser.

Oplossing

Als u de vastleggingen met een browser wilt exporteren, moet u:

1. Schakel de HTTPS-server in.
2. HTTPS-toegang toestaan.

De HTTPS-server is standaard uitgeschakeld en er is geen toegang toegestaan:

> show running-config http

>

Stap 1. Navigeer naar Apparaten > Platforminstellingen, klik op Nieuw beleid en kies Instellingen voor bedreigingsbeveiliging:

Geef de naam van het beleid en het apparaatdoel op:

Stap 2. Schakel de HTTPS-server in en voeg het netwerk toe dat u via HTTPS toegang wilt geven tot het FTD-apparaat:

Opslaan en implementeren.

Op het moment van de beleidsimplementatie kunt u debug http inschakelen om het begin van de HTTP-service te zien:

> debug http 255
debug http enabled at level 255.
http_enable: Enabling HTTP server
HTTP server starting.

Het resultaat van FTD CLI is:

> unebug all
> show run http
http server enable
http 192.168.103.0 255.255.255.0 INSIDE

Open een browser op Host-A (192.168.103.1) en gebruik deze URL om de eerste opname te downloaden: https://192.168.103.62/capture/CAPI/pcap/CAPI.pcap.

Ter referentie:

Voor de tweede opname gebruikt u https://192.168.103.62/capture/CAPO/pcap/CAPO.pcap.

Werken met FTD LINA Engine Captures - Een opname exporteren via FTP/TFTP/SCP

Vereisten

Exporteer de opnamen die in eerdere scenario's zijn gemaakt met Cisco IOS®-protocollen.

Oplossing

Een opname exporteren naar een FTP-server:

firepower# copy /pcap capture:CAPI ftp://ftp_username:ftp_password@192.168.78.73/CAPI.pcap

Source capture name [CAPI]?

Address or name of remote host [192.168.78.73]?

Destination username [ftp_username]?

Destination password [ftp_password]?

Destination filename [CAPI.pcap]?
!!!!!!
114 packets copied in 0.170 secs

firepower#

Een vastlegging exporteren naar een TFTP-server:

firepower# copy /pcap capture:CAPI tftp://192.168.78.73

Source capture name [CAPI]?

Address or name of remote host [192.168.78.73]?

Destination filename [CAPI]?
!!!!!!!!!!!!!!!!
346 packets copied in 0.90 secs

firepower#

Een opname exporteren naar een SCP-server:

firepower# copy /pcap capture:CAPI scp://scp_username:scp_password@192.168.78.55

Source capture name [CAPI]?

Address or name of remote host [192.168.78.55]?

Destination username [scp_username]?

Destination filename [CAPI]?
The authenticity of host '192.168.78.55 (192.168.78.55)' can't be established.
RSA key fingerprint is <cb:ca:9f:e9:3c:ef:e2:4f:20:f5:60:21:81:0a:85:f9:02:0d:0e:98:d0:9b:6c:dc:f9:af:49:9e:39:36:96:33>(SHA256).
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.78.55' (SHA256) to the list of known hosts.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
454 packets copied in 3.950 secs (151 packets/sec)

firepower#

Offload-opnamen van FTD. Op dit moment, wanneer u opnames van FTD moet verwijderen, is de eenvoudigste methode om deze stappen uit te voeren:

1. Van Lina - kopiëren /pcap capture:<cap_name> disk0:

2. Van FPR-hoofdmap - mv /ngfw/mnt/disk0/<cap_name> /ngfw/var/common/

3. Van FMC UI - Systeem > Gezondheid > Monitor > Apparaat > Geavanceerde probleemoplossing en voer het <cap_name> in het veld in en download.

Werken met FTD LINA Engine Captures – Een echt verkeerspakket traceren

Vereisten

Een opname op FTD inschakelen met deze filters:

Ping van host-A (192.168.103.1) naar host-B (192.168.101.1) en controleer de opnames.

Oplossing

Het traceren van een echt pakket is erg handig om verbindingsproblemen op te lossen. Hiermee kunt u alle interne controles bekijken die een pakket doorloopt. Voeg de trefwoorden voor traceringsdetails toe en geef het aantal pakketten op dat u wilt traceren. Standaard traceert de FTD de eerste 50 ingresspakketten.

Schakel in dat geval opname met traceringsdetails in voor de eerste 100 pakketten die FTD op de INSIDE-interface ontvangt:

> capture CAPI2 interface INSIDE trace detail trace-count 100 match icmp host 192.168.103.1 host 192.168.101.1

Ping van host-A naar host-B en controleer het resultaat:

De gevangen pakketten zijn:

> show capture CAPI28 packets captured
   1: 18:08:04.232989  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   2: 18:08:04.234622  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   3: 18:08:05.223941  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   4: 18:08:05.224872  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   5: 18:08:06.222309  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   6: 18:08:06.223148  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   7: 18:08:07.220752  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   8: 18:08:07.221561  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
8 packets shown

Deze uitvoer toont een spoor van het eerste pakket. De onderdelen die van belang zijn:

• Fase 12 is waar de 'voorwaartse stroom' wordt gezien. Dit is de LINA-engine Dispatch Array (effectief de interne volgorde van bewerkingen).
• Fase 13 is waar FTD het pakket naar de Snort-instantie stuurt.
• Fase 14 is waar het Snort-vonnis wordt gezien.

> show capture CAPI2 packet-number 1 trace detail
8 packets captured
   1: 18:08:04.232989 000c.2998.3fec a89d.2193.2293 0x8100 Length: 78
      802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request (ttl 128, id 3346)
Phase: 1
Type: CAPTURE
... output omitted ...

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 195, packet dispatched to next module
Module information for forward flow ...
snp_fp_inspect_ip_options
snp_fp_snort
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
 
Module information for reverse flow ...
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_snort
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
 
Phase: 13
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Config:
Additional Information:
Application: 'SNORT Inspect'
 
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (pass-packet) allow this packet

... output omitted ...

Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
 
1 packet shown
>

Capture Tool in Post-6.2 FMC-softwareversies

In FMC versie 6.2.x werd een nieuwe wizard voor pakketregistratie geïntroduceerd. Navigeer naar Apparaten > Apparaatbeheer en klik op het pictogram Problemen oplossen. Kies vervolgens Geavanceerde probleemoplossing en ten slotte Vastleggen met trace.

Kies Opname toevoegen om een FTD-opname te maken:

De huidige FMC UI-beperkingen zijn: 

• Kan geen Src- en Dst-poorten opgeven
• Alleen basis IP-protocollen kunnen worden gekoppeld
• Kan vastleggen voor ASP Drops van LINA-engine niet inschakelen

Workaround – Gebruik de FTD CLI

Zodra u een opname vanuit de FMC-gebruikersinterface toepast, wordt de opname uitgevoerd:

De opname op FTD CLI:

> show capture
capture CAPI%intf=INSIDE% type raw-data trace interface INSIDE [Capturing - 0 bytes]
  match ip host 192.168.0.10 host 192.168.2.10
>

Een echt pakket traceren op Post-6.2 FMC

Met de wizard Vastleggen met tracering van FMC 6.2.x kunt u echte pakketten vastleggen en traceren op FTD:

U kunt het getraceerde pakket controleren in de gebruikersinterface van de FMC:

Hulpprogramma FTD Packet Tracer

Vereisten

Gebruik het hulpprogramma Packet Tracer voor deze stroom en controleer hoe het pakket intern wordt verwerkt:

Oplossing

Packet Tracer genereert een virtueel pakket. Zoals in dit voorbeeld wordt getoond, is het pakket onderworpen aan Snort-inspectie. Een opname die tegelijkertijd op snort-niveau is gemaakt (capture-traffic) toont het ICMP-echoverzoek:

> packet-tracer input INSIDE icmp 192.168.103.1 8 0 192.168.101.1
 
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
 
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
 
Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.101.1 using egress ifc  OUTSIDE
 
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip 192.168.103.0 255.255.255.0 192.168.101.0 255.255.255.0 rule-id 268436482 event-log both
access-list CSM_FW_ACL_ remark rule-id 268436482: ACCESS POLICY: FTD5515 - Mandatory/1
access-list CSM_FW_ACL_ remark rule-id 268436482: L4 RULE: Allow ICMP
Additional Information:
 This packet is sent to snort for additional processing where a verdict is reached
 
... output omitted ...
 
Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 203, packet dispatched to next module

Phase: 13
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: allow rule, id 268440225, allow
NAP id 2, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet

 
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
 
>

De opname op snortniveau op het moment van de packet-tracer-test toont het virtuele pakket:

> capture-traffic

Please choose domain to capture traffic from:
  0 - management0
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n
13:27:11.939755 IP 192.168.103.1 > 192.168.101.1: ICMP echo request, id 0, seq 0, length 8

Packet Tracer UI Tool in Post-6.2 FMC-softwareversies

In FMC versie 6.2.x werd de Packet Tracer UI geïntroduceerd. De tool is toegankelijk op dezelfde manier als de capture tool en stelt u in staat om Packet Tracer op FTD uit te voeren vanuit de FMC UI:

Gerelateerde informatie

• Naslaggids voor het afweerbevel tegen vuurkracht
• Release-opmerkingen bij Firepower System, versie 6.1.0
• Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, versie 6.1
• Technische ondersteuning en documentatie – Cisco Systems