جدار الحماية القائم على منطقة IOS: مثال تكوين اتصال PSTN للموقع الواحد أو المكتب الفرعي CME/CUE/GW

خيارات التنزيل

  • PDF     (290.8 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (123.1 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (161.5 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٠ أكتوبر ٢٠٢٠
معرّف المستند:108014

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    توفر موجهات الخدمة المتكاملة (ISRs) من Cisco نظاما أساسيا قابلا للتطوير لتلبية متطلبات البيانات والشبكة الصوتية لمجموعة كبيرة من التطبيقات. على الرغم من أن بيئة التهديدات لكل من الشبكات الخاصة والمتصلة بالإنترنت هي بيئة ديناميكية للغاية، يوفر جدار حماية Cisco IOS إمكانات الفحص والتحكم وفحص التطبيق (AIC) التي تمثل حالة خطورة لتحديد وضعية شبكة آمنة وإنفاذها، مع تمكين قدرة الشركة واستمراريتها.

    يصف هذا المستند اعتبارات التصميم والتكوين لجوانب أمان جدار الحماية الخاصة بسيناريوهات البيانات والتطبيقات الصوتية المستندة إلى ISR من Cisco المحددة. يتم توفير تكوين الخدمات الصوتية وجدار الحماية لكل سيناريو تطبيق. يصف كل سيناريو تكوينات الصوت عبر بروتوكول VoIP والأمان بشكل منفصل، يتبعها تكوين الموجه بالكامل. قد تتطلب شبكتك تهيئة أخرى للخدمات مثل QoS وشبكة VPN للحفاظ على جودة الصوت والسرية.

    المتطلبات الأساسية

    المتطلبات

    لا توجد متطلبات خاصة لهذا المستند.

    المكونات المستخدمة

    لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    الاصطلاحات

    راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

    خلفية جدار حماية IOS

    يتم نشر جدار حماية Cisco IOS عادة في سيناريوهات التطبيقات التي تختلف عن نماذج نشر جدران الحماية الخاصة بالأجهزة. تتضمن عمليات النشر النموذجية تطبيقات العمل عن بعد، ومواقع المكاتب الصغيرة أو الفرعية، وتطبيقات البيع بالتجزئة، حيث يكون العدد المنخفض للأجهزة ودمج الخدمات المتعددة والعمق الأقل للأداء وقدرات الأمان هو المطلوب.

    وبينما قد يبدو تطبيق فحص الجدار الناري، إلى جانب الخدمات المتكاملة الأخرى في منتجات خدمات isr، جذابا من منظور التكلفة والتشغيل، يجب تقييم اعتبارات محددة لتحديد ما إذا كان جدار الحماية القائم على الموجه مناسبا. يؤدي تطبيق كل ميزة إضافية إلى تكبد تكاليف الذاكرة والمعالجة ومن المرجح أن يساهم في خفض معدلات إنتاجية إعادة التوجيه وزيادة زمن وصول الحزم وفقد قدرة الميزات أثناء فترات ذروة التحميل إذا تم نشر حل مدمج غير مشغل قائم على الموجه.

    اتبع الإرشادات التالية عند تحديد ما بين موجه وجهاز:

    • تعد الموجهات التي تحتوي على العديد من الميزات المدمجة التي تم تمكينها مثالية لمواقع المكاتب الفرعية أو مراكز العمل عن بعد حيث توفر الأجهزة الأقل حلا أفضل.

    • عادة ما يتم التعامل مع التطبيقات ذات النطاق الترددي العريض الفائق والأداء الفائق بشكل أفضل مع الأجهزة: يجب تطبيق خادم Cisco ASA و Cisco Unified Call Manager لمعالجة NAT وتطبيق سياسة الأمان ومعالجة المكالمات، بينما تتناول الموجهات تطبيق سياسة جودة الخدمة (QoS) وإنهاء شبكة الاتصال (WAN) ومتطلبات اتصال شبكة VPN من موقع إلى موقع.

    قبل إدخال الإصدار 12.4(20)T من برنامج Cisco IOS Software، لم يكن جدار الحماية الكلاسيكي وجدار الحماية القائم على المنطقة (ZFW) قادرا على دعم إمكانيات الدعم الكامل المطلوبة لحركة مرور البيانات عبر بروتوكول VoIP والخدمات الصوتية المستندة إلى الموجهات، مما يتطلب فتحات كبيرة في سياسات جدار الحماية الآمنة خلاف ذلك لاستيعاب حركة المرور الصوتية، وتقديم دعم محدود لتطوير إشارات VoIP وبروتوكولات الوسائط.

    نشر جدار حماية السياسة المستند إلى منطقة IOS من Cisco

    يمكن لجدار الحماية القائم على منطقة IOS من Cisco، والمماثل لجدران الحماية الأخرى، توفير جدار حماية آمن فقط إذا تم تحديد متطلبات أمان الشبكة ووصفها بواسطة سياسة الأمان. هناك نهجان أساسيان للتوصل إلى سياسة أمنية: منظور الثقة، بدلا من المنظور المشبوه.

    يفترض منظور الثقة أن جميع حركة المرور جديرة بالثقة، باستثناء تلك التي يمكن تعريفها بشكل خاص على أنها ضارة أو غير مرغوب فيها. يتم تنفيذ سياسة محددة ترفض حركة المرور غير المرغوب فيها فقط. ويتم تحقيق ذلك عادة من خلال إستخدام إدخالات محددة للتحكم في الوصول، أو إستخدام أدوات قائمة على التوقيع أو السلوك. ويميل هذا النهج إلى التدخل بقدر أقل في التطبيقات القائمة، ولكنه يتطلب معرفة شاملة بمشهد التهديد والقابلية للتأثر، ويتطلب يقظة مستمرة للتصدي للتهديدات والمغامرات الجديدة عند ظهورها. بالإضافة إلى ذلك، يجب أن يلعب مجتمع المستخدم دورا كبيرا في الحفاظ على مستوى كاف من الأمن. وتوفر البيئة التي تسمح بحرية واسعة مع قدر ضئيل من التحكم للشاغلين فرصة كبيرة للمشاكل التي يسببها الأشخاص المتهورون أو الضارون. وثمة مشكلة إضافية في هذا النهج تتمثل في أنه يعتمد بقدر أكبر على أدوات الإدارة الفعالة وضوابط التطبيقات التي توفر قدرا كافيا من المرونة والأداء ليكون قادرا على رصد البيانات المشتبه فيها والتحكم فيها في جميع حركة مرور الشبكة. وفي حين أن التكنولوجيا متاحة حاليا لمواجهة هذا الوضع، فإن العبء التشغيلي يتجاوز في كثير من الأحيان حدود معظم المنظمات.

    يفترض المنظور المريب أن جميع حركة مرور الشبكة غير مرغوب فيها، باستثناء حركة المرور الجيدة المحددة بشكل محدد. سياسة يتم تطبيقها ترفض كل حركة مرور التطبيق باستثناء ما يتم السماح به بشكل صريح. بالإضافة إلى ذلك، يمكن تنفيذ فحص التطبيقات والتحكم فيها (AIC) لتحديد حركة المرور الضارة التي تم تصميمها خصيصا لاستغلال التطبيقات "الجيدة"، فضلا عن حركة المرور غير المرغوب فيها التي يتم تخفيفها كحركة مرور جيدة وإبطالها. مرة أخرى، تفرض عناصر التحكم في التطبيقات أعباء تشغيل وأداء على الشبكة، على الرغم من أنه يجب التحكم في حركة المرور غير المرغوب فيها بواسطة عوامل تصفية عديمة الحالة مثل قوائم التحكم في الوصول (ACL) أو سياسة جدار الحماية الخاص بالسياسات (ZFW) القائمة على المنطقة، لذلك يجب أن يكون هناك قدر أقل من حركة المرور التي يجب التعامل معها بواسطة AIC أو نظام منع التسلل (IPS) أو عناصر التحكم الأخرى القائمة على التوقيع مثل مطابقة الحزم المرنة (FPM) أو التعرف على التطبيق المستند إلى الشبكة (NBAR). وبالتالي، إذا تم السماح فقط بمنافذ التطبيق المطلوبة (وحركة المرور الخاصة بالوسائط الديناميكية الناتجة عن إتصالات التحكم أو الجلسات المعروفة) بشكل محدد، فإن حركة المرور غير المرغوب فيها الوحيدة التي يجب أن تكون موجودة على الشبكة يجب أن تقع في مجموعة فرعية معينة يسهل التعرف عليها بشكل أكبر، مما يقلل من العبء الهندسي والتشغيلي المفروض للحفاظ على التحكم في حركة المرور غير المرغوب فيها.

    يصف هذا المستند تكوينات أمان VoIP استنادا إلى المنظور المريب، وبالتالي، يتم السماح بحركة المرور المسموح بها في مقاطع الشبكة الصوتية فقط. تميل سياسات البيانات إلى أن تكون أكثر تساهلا، كما هو موضح بواسطة الملاحظات في تكوين سيناريو كل تطبيق.

    يجب أن تتبع جميع عمليات نشر سياسات الأمان دورة ملاحظات ذات تكرار حلقي مغلق؛ حيث تؤثر عمليات نشر الأمان عادة على قدرة ووظائف التطبيقات الموجودة ويجب تعديلها لتقليل هذا التأثير أو حله.

    للحصول على مزيد من المعلومات حول كيفية تكوين جدار حماية السياسة المستندة إلى المناطق، ارجع إلى دليل تصميم وتطبيق جدار حماية السياسة المستند إلى منطقة جدار حماية Cisco IOS.

    اعتبارات ل ZFW في بيئات VoIP

    يوفر دليل تطبيق وتصميم جدار حماية السياسة القائم على منطقة جدار الحماية من Cisco IOS مناقشة موجزة لتأمين الموجه باستخدام سياسات الأمان من المنطقة الذاتية للموجه وإليها، بالإضافة إلى القدرات البديلة التي يتم توفيرها من خلال ميزات مختلفة لحماية أساس الشبكة (NFP). تتم إستضافة قدرات VoIP المستندة إلى الموجه داخل المنطقة الذاتية للموجه، لذلك يجب أن تكون سياسات الأمان التي تحمي الموجه على دراية بمتطلبات حركة المرور الصوتية، من أجل إستيعاب الإشارات الصوتية والوسائط التي تم إنشاؤها والمحددة بواسطة Cisco Unified CallManager Express، والخدمة الهاتفية للموقع البعيد القابلة للاستمرار، وموارد عبارة الصوت. قبل الإصدار 12.4(20)T من برنامج Cisco IOS Software، لم يكن جدار الحماية الكلاسيكي وجدار حماية السياسات المستند إلى المنطقة قادرين على إستيعاب متطلبات حركة مرور بيانات VoIP بالكامل، وبالتالي لم يتم تحسين سياسات جدار الحماية لحماية الموارد بالكامل. تعتمد سياسات الأمان في المنطقة الذاتية التي تحمي موارد الصوت عبر بروتوكول الإنترنت (VoIP) القائمة على الموجه بشكل كبير على القدرات التي تم تقديمها في الإصدار 12.4(20)T.

    تحسينات صوت جدار حماية IOS - 12.4(20)T

    قام برنامج Cisco IOS الإصدار 12.4(20)T بتقديم العديد من التحسينات لتمكين جدار الحماية في المنطقة المشتركة والإمكانات الصوتية. تنطبق ثلاث ميزات رئيسية مباشرة على تطبيقات الصوت الآمنة:

    • تحسينات SIP: بوابة طبقة التطبيقات وفحص التطبيقات والتحكم فيها

      • تحديث دعم إصدار SIP للإصدار الثاني من بروتوكول معلومات التوجيه (SIP)، كما هو موضح بواسطة RFC 3261

      • توسيع دعم إرسال إشارات SIP للتعرف على مجموعة متنوعة أوسع من تدفقات المكالمات

      • يقدم فحص تطبيق SIP والتحكم فيه (AIC) لتطبيق عناصر تحكم تستجيب للتعديل لمعالجة أوجه الضعف والاستكشافات المحددة على مستوى التطبيق

      • يوسع فحص المنطقة الذاتية ليتمكن من التعرف على الإشارات الثانوية وقنوات الوسائط الناتجة عن حركة مرور SIP الموجهة محليا/ المنشئة

    • دعم لحركة المرور المحلية النحيفة و CME

      • تحديث دعم SCCP للإصدار 16 (الإصدار 9 المدعوم سابقا)

      • يقدم فحص تطبيق SCCP والتحكم فيه (AIC) لتطبيق عناصر تحكم متعددة المستويات لمعالجة أوجه الضعف والاستكشافات المحددة على مستوى التطبيق

      • يوسع فحص المنطقة الذاتية ليكون قادرا على التعرف على الإشارات الثانوية وقنوات الوسائط الناتجة من حركة مرور SCCP الموجهة محليا/ المنشئة

    • دعم H.323 v3/v4

      • تحديث دعم H.323 للإصدارين 3 و 4 (تم دعمه سابقا في الإصدارات 1 و 2)

      • يقدم فحص تطبيق H.323 والتحكم فيه (AIC) لتطبيق عناصر تحكم متعددة المستويات لمعالجة أوجه الضعف والاستكشافات المحددة على مستوى التطبيق

    تتضمن تكوينات أمان الموجه الموضحة في هذا المستند القدرات التي تقدمها هذه التحسينات، مع شرح لوصف الإجراء المطبق بواسطة السياسات. للحصول على تفاصيل كاملة حول ميزات الفحص الصوتي، ارجع إلى مستندات الميزات الفردية المدرجة في قسم المعلومات ذات الصلة في هذا المستند.

    كافيتس

    من أجل تعزيز النقاط المذكورة أعلاه، يجب أن يطبق تطبيق جدار حماية Cisco IOS مع القدرات الصوتية المستندة إلى الموجهات جدار حماية السياسة المستندة إلى المنطقة. لا يتضمن جدار حماية IOS التقليدي القدرة المطلوبة للدعم الكامل لتعقيدات الإشارة وسلوكيات حركة مرور الصوت.

    ترجمة عنوان الشبكة

    غالبا ما يتم تكوين ترجمة عنوان الشبكة (NAT) عبر نظام IOS من Cisco بالتزامن مع جدار حماية Cisco IOS، وخاصة في الحالات التي يجب فيها على الشبكات الخاصة الواجهة مع الإنترنت، أو إذا كان يجب على الشبكات الخاصة المتباينة الاتصال، وخاصة إذا كانت مساحة عنوان IP المتداخلة قيد الاستخدام. يتضمن برنامج Cisco IOS بوابات طبقة تطبيق NAT (ALG) ل SIP و Skinny و H.323. يمكن بشكل مثالي إستيعاب اتصال الشبكة لصوت IP دون تطبيق NAT، حيث أن NAT يقدم تعقيدات إضافية لاستكشاف الأخطاء وإصلاحها وتطبيقات سياسة الأمان، وخاصة في الحالات التي يتم فيها إستخدام الحمل الزائد ل NAT. يجب تطبيق NAT فقط كحل حالة أخير لمعالجة شواغل اتصال الشبكة.

    عميل التواجد الموحد من Cisco

    لا يصف هذا المستند التكوينات التي تدعم إستخدام عميل Cisco Unified Presence (CUPC) مع جدار حماية IOS، حيث أن CUPC غير مدعوم حتى الآن من قبل Zone (المنطقة) أو جدار الحماية التقليدي كما هو الحال مع برنامج Cisco IOS الإصدار 12.4(20)T1. سيتم دعم CUPC في إصدار مستقبلي من برنامج Cisco IOS Software.

    اتصال PSTN الفرعي/CME/CUE/GW أحادي الموقع

    يقدم هذا السيناريو مهاتفة آمنة قائمة على موجه نقل الصوت عبر بروتوكول IP للشركات صغيرة إلى متوسطة الموقع الأحادية أو للمؤسسات متعددة المواقع الأكبر التي ترغب في نشر معالجة المكالمات الموزعة، والحفاظ على الاتصالات القديمة بشبكة الهاتف المحولة العامة (PSTN). يتم إستيعاب التحكم في المكالمات عبر بروتوكول VoIP من خلال تطبيق تطبيق Cisco Unified Call Manager Express.

    يمكن الحفاظ على اتصال PSTN على المدى الطويل أو يمكن ترحيله إلى شبكة IP مجمعة ذات مساحة واسعة تدعم الصوت والبيانات، كما هو موضح في مثال التطبيق الذي تمت مناقشته في موقع CME/CUE/GW أحادي أو مكتب فرعي مع خط اتصال SIP إلى CCM في قسم HQ أو مزود الصوت في هذا المستند.

    يجب على المؤسسات النظر في تنفيذ سيناريو هذا النوع من التطبيقات للظروف التي يتم فيها إستخدام بيئات بروتوكول VoIP المتباينة بين المواقع أو إذا كان بروتوكول VoIP غير عملي بسبب عدم كفاية اتصال بيانات شبكة الاتصال واسعة النطاق (WAN) أو القيود الخاصة بالإعدادات المحلية على إستخدام بروتوكول VoIP على شبكات البيانات. يتم وصف الفوائد وأفضل الممارسات لهاتف IP أحادي الموقع في Cisco Unified CallManager Express SRND.

    خلفية السيناريو

    يتضمن سيناريو التطبيق الهواتف السلكية (الشبكة المحلية الظاهرية VLAN الصوتية)، وأجهزة الكمبيوتر الشخصية السلكية (شبكة VLAN للبيانات)، والأجهزة اللاسلكية (التي تتضمن أجهزة بروتوكول VoIP مثل أداة IP Communicator).

    يوفر تكوين الأمان:

    • فحص إرسال الإشارات الذي بدأه الموجه بين CME والهواتف المحلية (SCCP و/أو SIP)

    • ثقوب في الوسائط الصوتية للتواصل بين:

      • الأجزاء السلكية واللاسلكية المحلية

      • CME والهواتف المحلية لوزارة الصحة

      • CUE والهواتف المحلية للبريد الصوتي

    • تطبيق فحص التطبيق والتحكم فيه (AIC) على:

      • رسائل دعوة حد المعدل

      • ضمان توافق البروتوكول على جميع حركة مرور SIP.

    isr_config_01_108014.gif

    المزايا والعيوب

    إن الفائدة الأكثر وضوحا من جانب بروتوكول VoIP في السيناريو هي مسار الترحيل الذي يتم توفيره من خلال دمج البنية الأساسية الحالية لشبكة البيانات والصوت في بيئة موجودة لشبكة POTS/TDM، قبل الانتقال إلى شبكة صوت/بيانات متقاربة للخدمات الهاتفية إلى العالم خارج نطاق الشبكة المحلية. يتم الاحتفاظ بأرقام الهاتف للشركات الأصغر حجما، ويمكن ترك خدمة CtrlX أو DID الموجودة في مكانها للمؤسسات الأكبر التي ترغب في الترحيل المرحلي إلى خدمة الهاتف الهاتفي لحزمة تجاوز الرقم الإجمالي.

    وتشمل أوجه القصور فقدان وفورات في التكاليف يمكن تحقيقها عن طريق تجاوز رسوم المكالمات بالانتقال إلى شبكة متقاربة للصوت والبيانات، فضلا عن القيود المفروضة على طلب المرونة والافتقار إلى تكامل الاتصالات وقابلية نقلها على نطاق المنظمة، وهي أمور يمكن تحقيقها عن طريق شبكة صوت وبيانات متقاربة بالكامل.

    من منظور أمني، يقلل هذا النوع من بيئة الشبكة من تهديدات أمان VoIP، من خلال تجنب تعرض موارد VoIP إلى الشبكة العامة أو شبكة WAN. ومع ذلك، سيظل برنامج Cisco Call Manager Express المدمج داخل الموجه عرضة للتهديدات الداخلية مثل حركة المرور الضارة أو حركة مرور التطبيقات التي لا تعمل بشكل صحيح. وبالتالي، يتم تنفيذ السياسة التي تسمح لحركة مرور البيانات الخاصة بالصوت التي تلبي عمليات التحقق من توافق البروتوكول، وتكون الإجراءات المحددة لبروتوكول VoIP (أي دعوة SIP) محدودة من أجل تقليل احتمال حدوث أعطال برمجية ضارة أو غير مقصودة تؤثر سلبا على موارد بروتوكول VoIP وإمكانية إستخدامه.

    سياسات البيانات وجدار الحماية القائم على المناطق وأمان الصوت وعمليات تهيئة CCME

    التكوين الموضح هنا يوضح 2851 بتكوين خدمة صوتية لاتصال CME و CUE: 

    !
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

    تكوين جدار الحماية المستند إلى مناطق، والذي يتكون من مناطق أمان لأجزاء الشبكة المحلية (LAN) السلكية واللاسلكية، وشبكة LAN الخاصة (مكونة من شرائح سلكية ولاسلكية)، وقسم شبكة WAN العامة حيث يتم الوصول إلى اتصال إنترنت غير موثوق به، والمنطقة الذاتية حيث توجد الموارد الصوتية للموجه.

    isr_config_02_108014.gif

    تكوين الأمان 
    class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

    تكوين الموجه بالكامل 
    version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2851-cme2
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com
!
ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1
!
!
ip domain name yourdomain.com
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
voice translation-rule 1
 rule 1 // /1001/
!
!
voice translation-profile default
 translate called 1
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0
!
interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/2/0
!
interface FastEthernet0/2/1
!
interface FastEthernet0/2/2
!
interface FastEthernet0/2/3
!
interface Vlan1
 ip address 198.41.9.15 255.255.255.0
!
router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui
!
!
ip nat inside source list 111 interface GigabitEthernet0/0 overload
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any
!
!
!
!
!
!
tftp-server flash:/phone/7940-7960/P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/P00308000400.sbn alias P00308000400.sbn
!
control-plane
!
!
!
voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable
!
voice-port 0/0/1
 description FXO
!
voice-port 0/1/0
 description FXS
!
voice-port 0/1/1
 description FXS
!
!
!
!
!
dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10
!
dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register
!
!
!
!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!
!
ephone-dn  1
 number 1001
 trunk A0
!
!
ephone-dn  2
 number 1002
!
!
ephone-dn  3
 number 3035452366
 label 2366
 trunk A0
!
!
ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3
!
!
!
ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3
!
!
!
ephone  5
 device-security-mode none
!
!
!
line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
ntp server 172.16.1.1
end

    الإدارة والمراقبة والإعداد

    يتم بشكل عام إستيعاب عمليتي الإمداد والتكوين لكل من موارد مهاتفة IP المستندة إلى الموجهات وجدار حماية السياسات المستند إلى المنطقة بشكل أفضل مع محترف تكوين Cisco. لا يدعم CiscoSecure Manager جدار حماية السياسة المستند إلى المنطقة أو خدمة IP الهاتفية المستندة إلى الموجه.

    يدعم جدار الحماية التقليدي من Cisco IOS مراقبة SNMP باستخدام قاعدة معلومات الإدارة (MIB) لجدار الحماية الموحد من Cisco. ومع ذلك، لم يتم بعد دعم جدار الحماية الخاص بالسياسات المستند إلى المناطق في قاعدة معلومات الإدارة (MIB) لجدار الحماية الموحد. على هذا النحو، يجب معالجة مراقبة جدار الحماية عبر إحصائيات على واجهة سطر أوامر الموجه، أو باستخدام أدوات واجهة المستخدم الرسومية (GUI) مثل تكوين Cisco Configuration Professional.

    يوفر نظام Cisco Secure Monitoring and Reporting System (CS-MARS) الدعم الأساسي لجدار الحماية القائم على المنطقة، على الرغم من تغييرات التسجيل التي أدت إلى تحسين إرتباط رسائل السجل بحركة المرور التي تم تنفيذها في 12.4(15)T4/T5 و 12.4(20)T والتي لم يتم دعمها بالكامل في CS-MARS.

    التحقق من الصحة

    لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

    استكشاف الأخطاء وإصلاحها

    يوفر جدار حماية منطقة Cisco IOS أوامر show وdebug لعرض نشاط جدار الحماية ومراقبته واستكشاف أخطائه وإصلاحها. يوفر هذا القسم مقدمة لأوامر تصحيح أخطاء جدار حماية المنطقة التي توفر معلومات تفصيلية حول أستكشاف الأخطاء وإصلاحها.

    أوامر التصحيح

    تفيد أوامر تصحيح الأخطاء في الحدث الذي تستخدم فيه تكوين غير نموذجي أو غير مدعوم وتحتاج إلى العمل مع Cisco TAC أو خدمات الدعم الفني لمنتجات أخرى لحل مشاكل قابلية التشغيل البيني.

    ملاحظة: قد يؤدي تطبيق أوامر تصحيح الأخطاء على قدرات أو حركة مرور معينة إلى حدوث عدد كبير جدا من رسائل وحدة التحكم، مما يؤدي إلى عدم إستجابة وحدة تحكم الموجه. في الحالة التي تحتاج فيها إلى تمكين تصحيح الأخطاء، قد ترغب في توفير وصول بديل لواجهة سطر الأوامر، مثل نافذة برنامج Telnet التي لا تراقب مربع الحوار الطرفي. يجب تمكين تصحيح الأخطاء فقط على الأجهزة غير المتصلة (بيئة المختبر) أو خلال نافذة الصيانة المخطط لها، لأن تمكين تصحيح الأخطاء قد يؤثر بشكل كبير على أداء الموجه.

    معلومات ذات صلة

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات