Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA Запись вебинара: https://www.youtube.com/watch?v=1J15kE97vms

1. Михаил Кадер
Инженер Cisco по вопросам информационной безопасности в России и других странах СНГ
Май 17, 2016
Анализ и устранение проблем при внедрении
сервисов Firepower на устройствах Cisco ASA
Cisco Support Community
Expert Series Webcast

2. Вебинар на русском языке
Июнь 21, 2016
В ходе данной презентации будут рассмотрены варианты как
классического дизайна ЦОД, так и основанные на дизайне фабрики
APIC. Основное внимание будет уделено вариантам сегментации,
изоляции сервисов, методам борьбы с совеременными угрозами,
характерными для ЦОД. Также будут даны практические
рекомендации по дизайну и сопровождению современных ЦОД.
Варианты дизайна и лучшие практики
создания современного безопасного
ЦОД
https://supportforums.cisco.com/event/12486661/expert-webcast-troubleshooting-speed-and-confidence-network-
engineers
Руслан Иванов

3. Как стать активным участником? Легко!
• Создавайте документы, пишите блоги, загружайте
видео, отвечайте на вопросы пользователей.
• Вклад оценивается на основе таблицы лидеров
• Также оценивается количество документов, блогов и
видео, созданных пользователем.
• Вклад оценивается только по русскоязычному
сообществу, не включая рейтинг, набранный в
глобальном Cisco Support Community.
Премия "Самый активный участник
Сообщества Поддержки Cisco"

4. Оцени контент
Ваши оценки контента дают
возможность атворам получать баллы.
Хотите чтобы поиск был удобным и
простым? Помогите нам распознать
качественный контент в Сообществе.
Оценивайте документы, видео и
блоги.
Пожалуйста, не забывайте оценивать
ответы пользователей, которые щедро
делятся своим временем и опытом
https://supportforums.cisco.com/ru/community/4926/pomoshch-help

5. 17 мая 2016 – 27 мая 2016
Сессия «Спросить Эксперта»
с Михаилом Кадером и Русланом Ивановым
Получить дополнительную информацию, а также
задать вопросы эксперту в рамках данной темы Вы
можете на странице, доступной по ссылке:
https://supportforums.cisco.com/community/russian/expert-
corner
Вы можете получить видеозапись данного
семинара и текст сессии Q&A в течении ближайших
5 дней по следующей ссылке
https://supportforums.cisco.com/community/russian/expert-
corner/webcast

6. Конкурс “Анализ и устранение проблем при
внедрении сервисов Firepower на устройствах
Cisco ASA”
17 мая в 14:00 мск
Мы предлагаем Вам принять участие в конкурсе после
проведения вебкаста, который так и будет называться
«Анализ и устранение проблем при внедрении
сервисов Firepower на устройствах Cisco ASA»
• Первые три победителя получат фирменную флеш-карту Cisco
Support Community
• Ответы присылайте на csc-russian@external.cisco.com
• Задание конкурса будет размещено сегодня после проведения
вебкаста

7. Скачать презентацию Вы можете по ссылке:
https://supportforums.cisco.com/ru/document/13014611
Спасибо, что присоединились к нам сегодня!

8. Присылайте Ваши вопросы!
Используйте панель Q&A, чтобы
задать вопрос.
Наш эксперт Руслан ответит на них.
Сегодняшняя
презентация включает
опросы аудитории
Пожалуйста, примите
участие в опросах!

9. Михаил Кадер
Инженер Cisco по вопросам информационной безопасности в России и других странах СНГ
Май 17, 2016
Cisco Support Community Expert Series Webcast
Анализ и устранение проблем при внедрении
сервисов Firepower на устройствах Cisco ASA

10. Вопрос 1
На каких устройствах Cisco ASA
можно внедрить Firepower Services
1. На всех устройствах Cisco ASA
2. Только на устройствах Cisco
ASA 5500-X
3. Только на устройствах нового
поколения Firepower 4100

11. Введение

12. Сервисы по
безопасности,
доступные
по подписке
• Сервисы по подписке:
IPS, URL, расширенная защита
от угроз (AMP)
Управление
• Центр управления
FireSIGHT/FirePOWER
(аппаратное или виртуальное устройство)
• ASDM (отдельные модели)
Оборудование
Общие сведения об устройстве Cisco ASA
с сервисами FirePOWER

13. Cisco FirePOWER обеспечивает эффективный
контроль сети
Стандартный
NGFW
Сервисы
Cisco®
FirePOWER
Стандартная
IPS

14. Лицензирование
• Управление модулем Cisco ASA FirePOWER осуществляется
посредством CLI, FireSIGHT/FirePOWER Management Center или
ASDM
• Для FirePOWER Management Center и модуля Cisco ASA
FirePOWER требуются разные лицензии
• Они установлены в самом модуле Cisco FirePOWER
и в Cisco FirePOWERManagement Center
• Дополнительные лицензии для Cisco ASA не требуются

15. Лицензии на сервисы Cisco ASA FirePOWER
Ниже перечислены разные типы лицензий на сервисы
Cisco ASA FirePOWER.
• Защита
• Контроль
• Вредоносное ПО
• Фильтрация URL-адресов

16. Лицензии на сервисы Cisco ASA FirePOWER
Защита
• обнаружение
и предотвращение
вторжений
• контроль файлов
• фильтрация
данных
безопасности
на основе анализа
Контроль
• контроль
пользователей
и приложений
Вредоносное
ПО
• расширенная
защита от угроз
(обнаружение
и блокировка
вредоносного ПО
с использованием
сетевых ресурсов)
Фильтрация
URL-адресов
• фильтрация
URL-адресов
на основе
категории
и репутации
• расшифровка
HTTPS

17. 17
Cisco ASA с FirePOWER — линейный режим
Политика
межсетевого
экрана
ASA
Расшифровка
VPN
внутренний
трафик
внешний
трафик
Проверка FirePOWER
ПО ASA FirePOWER

18. 18
Cisco ASA с FirePOWER — пассивный режим
Политика
межсетевого
экрана
ASA
Расшифровка
VPN
внутренний
трафик
внешний
трафик
Проверка FirePOWER
ПО ASA FirePOWER
копирование
IP-пакетов

19. 19
Доступ к аппаратному модулю управления ASA 5585-X
FirePOWER Management 1/0
ASA Management 0/0

20. 20
Доступ к программному модулю управления
ASA 5506-X через ASA 5555-X
Интерфейс управления ASA FirePOWER использует интерфейс управления ASA.
К модулю ASA FirePOWER можно подключиться через:
• SSH;
• Команда «session» на модулем ASA FirePOWER по внутренней шине;
• ASDM.

21. Установка или повторная установка
образа модуля FirePOWER

22. 22
Копирование образа загрузки (ASDM или CLI)
Или через TFTP, FTP, HTTP или HTTPS
с использованием команды copy.

23. 23
Восстановление/конфигурирование образа SFR
omar-asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-
boot-5.3.1-152.img
omar-asa# sw-module module sfr recover boot
Module sfr will be recovered. This may erase all configuration and all data
on that device and attempt to download/install a new image for it. This may
take several minutes.
Recover module sfr? [confirm]
Recover issued for module sfr.

24. Видео 1. Установка модуля
FirePOWER

26. Настройка модуля FirePOWER

27. Видео 2. Настройка модуля
FirePOWER

29. Перенаправление трафика на модуль FirePOWER
omar-asa(config)# class-map firepower_class_map
omar-asa(config-cmap)# match any
omar-asa(config-cmap)# policy-map global_policy
omar-asa(config-pmap)# class firepower_class_map
omar-asa(config-pmap-c)# sfr fail-open
omar-asa(config-pmap-c)# sfr fail-open monitor-only
WARNING: Monitor-only mode should be used for demonstrations and evaluations
only. This mode prevents SFR from denying or altering traffic.
ERROR: You cannot configure both monitor-only and inline SFR modes on the ASA.
Remove any conflicting sfr commands and try again.

30. 30
Добавление FireSIGHT Management Center
• DONTRESOLVE — используется, только если FireSIGHT Management Center
недоступен напрямую.
• reg_key — буквенно-цифровой ключ регистрации, предназначенный
для регистрации устройства в FireSIGHT.
• nat_id — применяется, если для предыдущего параметра установлено значение
DONTRESOLVE.
configure manager add { hostname | IPv4_address | IPv6_address | DONTRESOLVE }
reg_key [ nat_id ]

31. 31
Добавление ASA в FireSIGHT
1
2
Добавление IP-адреса и ключа
регистрации модуля и ASA SFR

32. Устранение неполадок Cisco ASA

33. Полезные команды show ASA

34. show module sfr
omar-asa# show module sfr
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr FirePOWER Services Software Module ASA5512 FCH1652J3ER
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr 0006.f62a.ee42 to 0006.f62a.ee42 N/A N/A 5.3.1-152
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr ASA FirePOWER Up 5.3.1-152
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Up Up

35. show module sfr log console
omar-asa# show module sfr log console
Displaying Console Log Information for Module sfr:
***
*** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img, ISO: , Num CPUs: 1,
RAM: 1696MB, Mgmt MAC: 00:06:F6:2A:EE:42, CP MAC: 00:00:00:04:00:01, HDD: -drive
file=/dev/md0,cache=none,if=virtio, Dev Driver: virtio
*** TIME: 18:21:43 EDT Apr 26 201
***
*** EVENT: Start Parameters Continued: RegEx Shared Mem: 0MB, Cmd Op: , Shared
Mem Key: 8061, Shared Mem Size: 8, Log Pipe: /dev/ttyS0_vm3, Sock:
/dev/ttyS1_vm3, Mem-Path: -mem-path /hugepages
*** TIME: 18:21:43 EDT Apr 26 2015
***
Status: Mapping host 0x2aab15400000 to VM with size 8388608
Warning: vlan 0 is not connected to host network
-------<output omitted>--------

36. show module sfr details
omar-asa# show module sfr details
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5512
Hardware version: N/A
Serial Number: FCH1652J3ER
Firmware version: N/A
Software version: 5.3.1-152
MAC Address Range: 0006.f62a.ee42 to 0006.f62a.ee42
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.1.2
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.168.1.1
Mgmt web ports: 443
Mgmt TLS enabled: true

37. show asp table classify domain sfr
Показывает созданные правила NP для направления
трафика в модуль ASA FirePOWER.
omar-asa# show asp table classify domain sfr
Input Table
in id=0x7fffdde969e0, priority=71, domain=sfr, deny=false
hits=0, user_data=0x7fffded52c00, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
input_ifc=outside, output_ifc=any
in id=0x7fffde316c90, priority=71, domain=sfr, deny=false
hits=0, user_data=0x7fffded52c00, cs_id=0x0, use_real_addr, flags=0x10000, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip/id=::/0, port=0, tag=any, dscp=0x0
input_ifc=outside, output_ifc=any

38. Видео 3. Полезные команды show ASA

40. Полезные команды show модуля
FirePOWER

41. show network
> show network
----------------------------------------------------
IPv4
Configuration : manual
Address : 192.168.1.2
Netmask : 255.255.255.0
Gateway : 192.168.1.1
MAC Address : 00:06:F6:2A:EE:42
Managemet port : 8305
----------------------------------------------------
IPv6
Configuration : disabled
Management port : 8305
----------------------------------------------------

42. show summary
> show summary
--------------------[ omar-sfr ]--------------------
Model : ASA5512 (72) Version 5.3.1
(Build 152)
UUID : b19d9bbc-a022-11e4-9698-
971918eb426c
VDB version :
----------------------------------------------------
---------------[ GigabitEthernet0/0 ]---------------
Physical Interface : GigabitEthernet0/0
Type : ASA
Security Zone : None
Status : Enabled
Load Balancing Mode : N/A
---------------[ GigabitEthernet0/1 ]---------------
Physical Interface : GigabitEthernet0/1
Type : ASA
Security Zone : None
Status : Enabled
Load Balancing Mode : N/A
---------------[ GigabitEthernet0/5 ]---------------
Physical Interface : GigabitEthernet0/5
Type : ASA
Security Zone : None
Status : Enabled
Load Balancing Mode : N/A
---------------------[ cplane ]---------------------
IPv4 Address : 127.0.4.1
----------------------[ eth0 ]----------------------
Physical Interface : eth0
Type : Management
Link Mode : Autoneg
MDI/MDIX : Auto
MTU : 1518
MAC Address : 00:06:F6:2A:EE:42
IPv4 Address : 192.168.1.2
----------------------[ eth1 ]----------------------
---------------------[ tunl0 ]----------------------
----------------------------------------------------

43. show memory & show interfaces
> show memory
total used free shared buffers cached
Mem: 1700340 552512 1147828 0 21596 101268
-/+ buffers/cache: 429648 1270692
Swap: 3097136 0 3097136
> show interfaces GigabitEthernet0/0
---------------[ GigabitEthernet0/0 ]---------------
Physical Interface : GigabitEthernet0/0
Type : ASA
Security Zone : None
Status : Enabled
Load Balancing Mode : N/A
----------------------------------------------------

44. show dns
** Неверная конфигурация DNS —
это одна из наиболее распространенных проблем
при начальном развертывании модуля ASA FirePOWER.
System Support> show dns
search cisco.com
nameserver 172.18.108.34
nameserver 172.18.108.43

45. show traffic-statistics
Show> show traffic-statistics
-----------------[ Traffic Status ]-----------------
Name : kvm_ivshmem
Transmitted Bytes (TX) : 25322432
Recieved Bytes (RX) : 116978177842
Dropped Packets : 283

46. Вопрос 2
Какие системы управления можно
использовать для Firepower
services на платформе Cisco ASA?
1. ASDM
2. FireSight
3. Firepower management console
4. Все из указанных выше
5. Только 1 и 2

47. Команды диагоностики

48. System Support
> system support
System Support>
application-identification-debug Generate application identification debug messages
bootloader Display bootloader information
capture-traffic Display traffic or save to specified file
configure Change to Confguration mode
dump-table Dump specified database tables to common file repository
end Return to the default mode
eotool Change to Enterprise Object Tool Mode
exit Exit System Support Mode
expert Invoke a shell
file-malware-debug Generate file malware debug messages
firewall-engine-debug Generate firewall debug messages
firewall-engine-dump-user-identitdata Generate a file containing the current state of user identity
within the firewall
fstab Display the file systems table
help Display an overview of the CLI syntax

49. System Support (продолжение)
history Disay the current session's command line history
iptables Display IP packet filter rules
logout Logout of the current CLI session
network-options Display network options
nslookup Look up an IP address or host name with the DNS servers
ntp Show NTP configuration
partitions Display partition information
platform Display platform information
pmtool Change to PMTool Mode
repair-table Repair specified database tables
rpms Display RPM information
run-rule-profiling Run Rule Profiling
scsi Show SCSI device information
set-arc-mode Set the Automatic Resource Configuration optimization mode
sftunnel-status Show sftunnel status
show Change to Show Mode
show-arc-mode Show the Automatic Resource Configuration optimization mode value
silo-drain Assists with Disk Management
swap Display swap information
system Change to System Mod
tail-logs Tails the logs selected by the user
traceroute Find route to remote network
utilization Display current system utilization
view-files View files in the stem

50. System generate-troubleshoot
TAC может попросить вас создать файлы отладки для помощи в диагностике
проблемы. Вы можете выбрать любой из перечисленных ниже вариантов для
выбора данных по отладке, предоставляемых модулем ASA FirePOWER.
System> generate-troubleshoot
One or more subset options required. Displaying list of options:
ALL - Run ALL Of The Following Options
SNT - Snort Performance and Configuration
PER - Hardware Performance and Logs
SYS - System Configuration, Policy, and Logs
DES - Detection Configuration, Policy, and Logs
NET - Interface nd Network Related Data
VDB - Discovery, Awareness, VDB Data, and Logs
UPG - Upgrade Data and Logs
DBO - All Database Data
LOG - All Log Data
NMP - Network Map Information

51. System generate-troubleshoot (продолжение)СозданиеКопирование
System> generate-troubleshoot ALL
Starting /usr/local/sf/bin/sf_troubleshoot.pl...
Please, be patient. This may take several minutes.
The troubleshoot option code specified is ALL.
Troubleshooting information successfully created at /var/common/results-01-26-
20
16--184950.tar.gz
System> system file secure-copy omar.cisco.com omar dest_dir results-01-26-
2016--184950.tar.gz
The authenticity of host 'omar.cisco.com (172.18.104.139)' can't be
established.
ECDSA key fingerprint is 9b:f1:b2:62:04:65:be:29:94:af:09:9a:04:50:2c:0a.
Are you sure you want to continue connecting (yes/no)? yes
omar@omar.cisco.com's password:*******************
copy successful.

52. Создание файлов отладки из ASDM
• В ASDM выберите Configuration > ASA FirePOWER Configuration > Tools
> Troubleshooting.
• Нажмите Generate Troubleshooting Files.
Создание файлов отладки
• Выберите Monitoring > ASA FirePOWER Monitoring > Task Status.
• Найдите задание, которое соответствует созданным вами файлам отладки.
• После того как модуль FirePOWER создаст файлы отладки, статус вашего
задания изменится на Completed.
• Для загрузки файлов выполните команды, появляющиеся в браузере.
Файлы загружаются в один файл .tar.gz.
Получение файлов

55. Видео 4. Полезные команды
Show модуля FirePOWER

57. Поток пакетов через Cisco ASA с
сервисами FirePOWER

58. Обзор потока пакетов
• Обработка входящего трафика — входящие ACL, дефрагментация IP, нормализация TCP,
перехват TCP, проверка протоколов, кластеризация/контроль трафика HA, расшифровка VPN и
т. д.
• Обработка трафика сервисами FirePOWER — фильтрация URL, AVC, NGIPS, AMP и т. д.
• Обработка исходящего трафика — исходящие ACL, NAT, маршрутизация, шифрование VPN
и т. д.
Пакеты перенаправляются в модуль FirePOWER с использованием модульной структуры
политик (MPF) Cisco ASA.
Пример конфигурации MPF для отправки всего трафика в модуль FirePOWER Services
policy-map global_policy
class class-default
sfr fail-open
service-policy global_policy global

59. Обработка пакетов: порядок операций
• Модуль ASA обрабатывает все входящие пакеты согласно ACL, таблицам подключений,
нормализации перед тем, как трафик направляется в модуль сервисов FirePOWER.
• ASA обеспечивает нормализацию потока и выбор/фильтрацию с учетом контекста для сервисов
FirePOWER.
• Кластер ASA обеспечивает симметрию потока и высокую доступность (HA) для сервисов
FirePOWER.
• Пакеты и потоки не отбрасываются сервисами FirePOWER.
• Пакеты помечаются для сброса или сброса с разрывом и отправляются назад в ASA.
• Это позволяет ASA удалять таблицы состояния соединения и отправлять сигналы сброса
при необходимости.
RX
Pkt
Входной
интерфейс
Существ.
соедин.
NAT
неперев.
Разреш.
ACL
Проверка
Проверка
безоп.
NAT IP
Заголовок
Выходной
интерфейс
L3
Маршрут
TX
Pkt
Сервисы
FirePOWER
Модуль
L2
Адрес
Нет
Да
Нет
DROP
Да
Нет
DROP
Нет
DROP
Нет
DROP
Нет
DROP
Да ДаДа

60. Использование порта данных ASA 5585-X
• ASA SSP обрабатывает все входящие и исходящие пакеты
• FirePOWER SSP не выполняет напрямую обработку пакетов, кроме порта управления
FirePOWER SSP.
• ASA конфигурирует и контролирует порты данных FirePOWER SSP.
CPU Матричный
коммутатор
Механизм
FirePOWER
Модуль SFR-SSP
CPU Матричный
коммутатор
Мезонинный
слот
Модуль ASA-SSP
ПОРТЫ
ПОРТЫ

61. Советы по конфигурированию и
масштабированию ASA FirePOWER

62. Производительность:
как измерить и почему это имеет значение?
Необходимо купить?
• Обновить существующую систему или купить новое устройство?
• Какие функции мне необходимы или желательны?
• Межсетевой экран, IPS, Контроль приложений, URL, защита от вредоносного
ПО?
• Перед DNS в ЦОД, выполняющими миллионы маленьких и быстрых операций,
или перед веб-серверами HTTP, обслуживающими обычные веб-страницы?
• ЦОД, обрабатывающий только внутренний трафик, или интернет-периметр,
через который проходит обычный интернет-трафик?
ВАША ПРОИЗВОДИТЕЛЬНОСТЬ ЗАВИСИТ от выбранных вами настроек!!

63. Влияние местоположения
на производительность
• Местоположение может влиять на производительность
как прямо, так и косвенно.
• Прямое влияние на рабочую нагрузку могут оказывать разные
типы трафика и разные размеры пакетов в среднем.
• Косвенное влияние оказывает объем вредоносного трафика
на интернет-периметре, который может приводить к созданию
большого количества событий, а также большее число
журнальных записей по сравнению с ЦОД.

64. • Анализ пропускной способности FirePOWER Services для ASA
по сравнению с классическим модулем только с IPS.
• Протестировано с использованием транзакционного теста 440 байт HTTP, который
использовался для классической IPS.
5506 5508 5512 5515 5516 5525 5545 5555 5585-10 5585-20 5585-40 5585-60
FirePOWER
Services
На ASA
90 180 100 150 300 375 575 725 1200 2000 3500 6000
Класси-
ческая IPS
на ASA
Н/Д Н/Д 150 250 Н/Д 400 600 850 1150 1500 3000 5000

65. Мониторинг общей работоспособности
системы FirePOWER

66. Monitoring > Statistics

67. Health Monitor

68. Health > Policy

69. Health Events

70. Rule Profiling
В случае превышения подписки на систему FirePOWER
вы можете собрать дополнительные данные, чтобы
определить, какие компоненты устройства замедляют
ее работу.
Rule Profiling можно использовать
для создания данных, о том, какие правила
и подсистемы механизма обнаружения используют
наибольшее число циклов CPU.

71. Rule Profiling
Rule Profiling перезапускает механизм обнаружения,
что может повлиять на функциональность обнаружения
и увеличить объем используемых мощностей ЦП.

72. Rule Profiling
> system support run-rule-profiling 15
You are about to profile
DE Primary Detection Engine (94854a60-cb17-11e3-a2f5-8de07680f9f3)
Time 15 minutes
WARNING!! Detection Engine will be restarted.
Intrusion Detection / Prevention will be affected
Please confirm by entering 'y': y
After confirming the execution, the rule profiling begins. The time to
complete the profiling counts down to zero minutes.
Restarting DE for profiling...done
Profiling for 15 more minutes...
Once complete, the shell prompt comes back.
Restarting DE for profiling...done
Profiling...done
Restarting DE with original configuration...in progress

73. Rule Profiling
rule profiling создает файл .tgz.
> system file list
Feb 12 15:53 99364308 profiling.94854a60-a2f5-8de07680f9f3.1399909945.tgz

74. Полезные команды (CLI)
• show alarms
• show arp-tables
• show audit-log
• show access-control-config
• show clustering ha-statistics
• show cpu
• show disk
• show disk-manager

75. Полезные команды (CLI)
• show database processes
• show process-tree
• show processes -u user1
• show route
• система: создание файлов отладки

76. Syslog

77. Audit Log

78. Проблемы синхронизации времени

79. Проблемы NTP

80. Конфигурация NTP

81. Отображение информации NTP (CLI)
> show ntp
NTP Server : 127.0.0.2 (Cannot
Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds)

82. Cisco ASA CLI Analyzer

83. Cisco ASA CLI Analyzer
• Ссылка для загрузки (Mac/PC): https://cway.cisco.com/go/sa
• ASA System Diagnostics — использует знания Cisco TAC для анализа ASA
и обнаружения известных проблем, например сбоев системы, ошибок конфигурации
и случаев, не соответствующих передовым методикам.
• ASA Traceback Analyzer — сопоставляет первопричину сбоя с известной ошибкой,
если у ASA есть история отказов системы. В случае обнаружения похожей ошибки
предоставляются версии ASA, на которых она исправлена.
• ASA Top Talkers Tool — рассчитывает, какие подключения пропускают через ASA
наибольший объем трафика в определенный отрезок времени.
• ASA Packet Tracer — позволяет администраторам моделировать отправку пакетов
через ASA. В случае потери пакетов определяется функция или настройка
конфигурации ASA, которая может помочь избежать этой ошибки.

85. Получение оповещений об известных проблемах
с конфигурацией или операционным состоянием ASA

86. Вопрос 3
Какая тема была бы интересной
для следующей презентации:
1. Новые аппаратные платформы
Cisco Firepower 4100
2. Основы внедрения средства
мониторинга и обнаружения угроз
Cisco Stealthwatch

87. Отправьте свой вопрос сейчас!
Используйте панель Q&A, чтобы задать вопрос.
Эксперты ответят на Ваши вопросы.

88. Приглашаем
Вас активно
участвовать в
Сообществе и
социальных
сетях
Vkontakte http://vk.com/cisco
Facebook http://www.facebook.com/CiscoSupportCommunity
Twitter https://twitter.com/CiscoRussia
You Tube http://www.youtube.com/user/CiscoRussiaMedia
Google+ https://plus.google.com/106603907471961036146
LinkedIn http://www.linkedin.com/groups/Cisco-Russia-CIS-3798
Instgram https://instagram.com/ciscoru
Подписаться на рассылку
csc-russian@external.cisco.com

89. Мы также
предоставляем
Вашему вниманию
Сообщества на
других языках!
Если Вы говорите на Испанском, Португальском или
Японском, мы приглашаем Вас принять участие в
Сообществах:
Русское
http://russiansupportforum.cisco.com
Испанское
https://supportforums.cisco.com/community/spanish
Португальское
https://supportforums.cisco.com/community/portuguese
Японское
https://supportforums.cisco.com/community/csc-japan
Китайское
http://www.csc-china.com.cn
Если Вы говорите на Испанском,
Португальском или Японском, мы
приглашаем Вас принять участие и вести
общение на Вашем родном языке

90. Технические семинары в клубе Cisco Expo Learning Club
http://ciscoclub.ru/events

91. Пожалуйста, участвуйте в опросе
Спасибо за Ваше внимание!