Segurança : Cisco IOS Firewall

Troubleshooting Zona-baseado do Firewall

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento contém a informação de Troubleshooting para o Firewall zona-baseado.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Incapaz de passar o tráfego VPN

Problema

A edição é que o tráfego VPN é incapaz de passar através do Firewall zona-baseado.

Solução

Permita que o tráfego do cliente VPN seja inspecionado pelo Firewall zona-baseado do½ do¿Â do Cisco IOSïÂ.

Por exemplo, estão aqui as linhas a adicionar na configuração do roteador:

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

Incapaz de passar GRE/PPTP

Problema

A edição é que o tráfego GRE/PPTP é incapaz de passar com o Firewall zona-baseado.

Solução

Permita que o tráfego do cliente VPN seja inspecionado pelo Cisco IOS Firewall zona-baseado.

Por exemplo, estão aqui as linhas a adicionar na configuração do roteador:

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

Verifique a configuração:

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

Alcançabilidade de rede

Problema

Depois que a política para o Firewall zona-baseado é aplicada no roteador do Cisco IOS, as redes não são alcançáveis.

Solução

Este problema pôde ser o roteamento assimétrico. O Cisco IOS Firewall não trabalha nos ambientes com roteamento assimétrico. Os pacotes não são garantidos para retornar através do mesmo roteador.

O Cisco IOS Firewall segue o estado de sessões TCP/UDP. Um pacote deve partir e retornar do mesmo roteador para a manutenção exata da informação de estado.

Incapaz de passar o tráfego DHCP com um Firewall Zona-baseado

Problema

Você é incapaz de passar o tráfego DHCP com um Firewall zona-baseado.

Solução

Desabilite a inspeção do tráfego da auto-zona a fim resolver esta edição.


Informações Relacionadas


Document ID: 109479