Безопасность : Межсетевой экран Cisco IOS

Зональное устранение проблем межсетевого экрана

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ содержит сведения об устранении проблем для зонального межсетевого экрана.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Невозможно передать трафик VPN

Проблема

Проблема - то, что трафик VPN неспособен пройти через зональный межсетевой экран.

Решение

Позвольте трафику клиента VPN быть осмотренным зональной Cisco межсетевой экран IOS�.

Например, вот линии для прибавления по конфигурации маршрутизатора:

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

Неспособный передать GRE/PPTP

Проблема

Проблема - то, что GRE/ТРАФИК PPTP неспособен пройти через зональный межсетевой экран.

Решение

Позвольте трафику клиента VPN быть осмотренным зональным межсетевым экраном Cisco IOS.

Например, Вот линии для прибавления по конфигурации маршрутизатора:

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

Проверьте настройку:

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

Возможность доступа к сети

Проблема

После того, как политика для зонального межсетевого экрана применена в маршрутизаторе Cisco IOS, сети не достижимы.

Решение

Этой проблемой могла бы быть асимметричная маршрутизация. Межсетевой экран Cisco IOS не работает в средах с асимметричной маршрутизацией. Пакеты, как гарантируют, не возвратятся через то же маршрутизатор.

Межсетевой экран Cisco IOS отслеживает состояние сеансов TCP/UDP. Пакет должен отбыть и возвратиться из того жя маршрутизатор для прецизионного технического обслуживания информации о состоянии.

Неспособный передать трафик DHCP через зональный межсетевой экран

Проблема

Вы неспособны передать трафик DHCP через зональный межсетевой экран.

Решение

Отключите самозональный контроль трафика для решения этого вопроса.


Дополнительные сведения


Document ID: 109479