Sécurité : Pare-feu Cisco IOS

Dépannage du pare-feu basé sur zone

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document contient l'information de dépannage pour le Pare-feu basé sur zone.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Incapable de passer le trafic VPN

Problème

La question est que le trafic VPN ne peut pas passer à travers le Pare-feu basé sur zone.

Solution

Permettez le trafic de client vpn à examiner par le Pare-feu basé sur zone de½ du¿Â du Cisco IOSïÂ.

Par exemple, voici les lignes à ajouter sur la configuration du routeur :

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

Incapable de passer GRE/PPTP

Problème

La question est que le trafic GRE/PPTP ne peut pas traverser le Pare-feu basé sur zone.

Solution

Permettez le trafic de client vpn à examiner par le Pare-feu Cisco IOS basé sur zone.

Par exemple, voici les lignes à ajouter sur la configuration du routeur :

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

Vérifiez la configuration :

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

Accessibilité de réseau

Problème

Après que la stratégie pour le Pare-feu basé sur zone soit appliquée dans le routeur Cisco IOS, les réseaux ne sont pas accessibles.

Solution

Ce problème pourrait être le routage asymétrique. Le Pare-feu Cisco IOS ne fonctionne pas dans les environnements avec le routage asymétrique. Des paquets ne sont pas garantis pour retourner par le même routeur.

Le Pare-feu Cisco IOS dépiste l'état de sessions TCP/UDP. Un paquet doit partir et retourner du même routeur pour la maintenance précise des informations d'état.

Incapable de passer le trafic DHCP par un Pare-feu basé sur zone

Problème

Vous ne pouvez pas passer le trafic DHCP par un Pare-feu basé sur zone.

Solution

Inspection du trafic d'auto-zone de débronchement afin de résoudre ce problème.


Informations connexes


Document ID: 109479