Интерфейсы и модули Cisco : Сервисные модули Cisco

Ответы на часто задаваемые вопросы о модуле служб брандмауэра

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Вопросы

Введение
На FWSM есть надпись — "Не вытаскивайте плату, если горит зеленый светодиод, так как это может привести к повреждению диска". Что это означает?
После использования команды show module, FWSM перешел в состояние "неисправен/другое". Какие действия следует предпринять?
Где можно найти документацию по FWSM?
Какова минимальная версия программы, которая может поддерживать работу с FWSM, модулем 2 обнаружения вторжений в систему (IDSM2) и модулем служб VPN (VPNSM)?
Можно ли использовать в одной стойке FWSM, IDSM2 и VPNSM?
Какие настройки необходимо выполнить для FWSM?
Что такое SVI? Можно ли настроить несколько SVI?
Почему нельзя проверить соединение с FWSM на интерфейсе с прямым подключением?
Невозможно проверить соединение с FWSM на интерфейсе с прямым подключением и для этого интерфейса отсутствует запись в ARP-таблице. Коммутатор работает под управлением операционной системы CatOS. Какие действия следует предпринять?
Почему нельзя проверить соединение с FWSM или передать через него какие-либо данные?
Можно проверить соединение с интерфейсом FWSM, который напрямую подключен к сети, однако, нельзя проверить соединение с другими интерфейсами. Это нормальная ситуация?
Можно ли настроить восстановление после отказа между двумя FWSM, использующими различные версии программы?
Можно ли настроить восстановление после отказа между двумя FWSM в различных стойках?
Между двумя FWSM настроено восстановление после отказа, но они не синхронизируются. Что может быть причиной этому?
Где можно найти сведения о сообщениях об ошибках, относящихся к FWSM?
Где можно найти сведения о существующих дефектах для FWSM?
Какое количество VLAN может поддерживать FWSM?
Поддерживает ли FWSM команду access-list compiled?
Поддерживает ли FWSM выполнение команды auto-cost reference-bandwidth в IOS с помощью протокола OSPF?
Может ли использоваться протокол OSPF в топологии, когда два различных интерфейса FWSM подключены к одной и той же сети?
Какие протоколы маршрутизации поддерживаются FWSM?
Поддерживается ли многоадресность (протокол IGMPv2 и маршрутизация с мультивещанием) на FWSM?
Поддерживает ли FWSM фильтрацию URL-адресов?
Почему фрагментированные пакеты отклоняются FWSM?
Можно ли прерывать VPN-соединения на FWSM?
Поддерживается ли на FWSM аутентификация, авторизация и ведение учета (AAA) для RADIUS или TACACS+?
Как выполнить восстановление пароля для FWSM?
Поддерживает ли FWSM работу с джамбо пакетами?
Имеется лицензия для FWSM, функционирующего в режиме параллельных соединений. Можно ли получить лицензию для резервного FWSM в случае выхода из строя аппаратного обеспечения?
Как разместить дополнительные VLAN после FWSM?
Какое количество VLAN можно разместить после FWSM, использующего режим одиночной контекстной маршрутизации?
В чем разница между брандмауэром PIX и модулем служб брандмауэра?
На FWSM для каждого интерфейса невозможно выполнить команды множественного группового доступа. FWSM работает только с одной группой доступа для каждого интерфейса. Почему?
Поддерживается ли PVLAN на FWSM?
Поддерживаются ли номера строк списка доступа в FWSM?
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе содержатся ответы на часто задаваемые вопросы о модуле служб брандмауэра Catalyst 6500 (FWSM).

Примечание:  Дополнительные сведения об условных обозначениях см. в разделе Условные обозначения для практических рекомендаций компании Cisco.

Вопрос. На FWSM есть надпись — "Не вытаскивайте плату, если горит зеленый светодиод, так как это может привести к повреждению диска". Что это означает?

Ответ. Модуль брандмауэра должен быть снят только после отключения электропитания, используя один из следующих методов. Предпочтения для конкретного метода отсутствуют.

Модуль может быть извлечен, если зеленый светодиод состояния больше не горит.

Вопрос. После использования команды show module, FWSM перешел в состояние "неисправен/другое". Какие действия следует предпринять?

Ответ. См. следующий список рекомендаций для устранения неполадок FWSM, связанных с переходом в состояние неисправен/другое.

Для получения дополнительных сведений см. следующую документацию:

Если проблемы не устранены, то необходимо обратиться в центр технической поддержки компании Cisco за дополнительной помощью.

Вопрос. Где можно найти документацию по FWSM?

Ответ. Замечания к версии для FWSM можно найти в документе Замечания к версии Catalyst 6500. На странице проведите поиск слова "брандмауэр". Документацию по настройке можно найти в разделе Документация по установке и настройке Catalyst 6500. На странице проведите поиск слова "брандмауэр".

Вопрос. Какова минимальная версия программы, которая может поддерживать работу с FWSM, модулем 2 обнаружения вторжений в систему (IDSM2) и модулем служб VPN (VPNSM)?

Вопрос. Пригодность версии программы зависит от типа модуля Supervisor в стойке 6500 или 7600, а также зависит от типа используемой операционной системы (CatOS [Hybrid] или Cisco IOS [Native]). См. нижеследующую таблицу для получения сведений о версиях программы и маршрутизаторах многоуровневой коммутации (MSFC).

  Sup1 (с MSFC) Sup2 (с MSFC) Sup720
Модуль Cisco IOS CatOS Cisco IOS CatOS Cisco IOS CatOS
FWSM 12.1(13)E 7.5(1) 12.1(13)E 7.5(1) 12.2(14)SX1 8.2(1)
IDSM2 Не поддерживается 7.6(1) 12.1(19)E 7.6(1) 12.2(14)SX1 8.2(1)
VPNSM Не поддерживается Не поддерживается 12.2(14)SY Не поддерживается 12.2(17a)SX10 Не поддерживается *

* Планируется реализовать поддержку.

Примечание: Дополнительные сведения о различиях между операционными системами CatOS (Hybrid) и Cisco IOS (Native) см. в разделе Сравнение операционных систем Cisco Catalyst и Cisco IOS для коммутаторов серии Cisco Catalyst 6500.

Вопрос. Можно ли использовать в одной стойке FWSM, IDSM2 и VPNSM?

Ответ. Да, эти модули могут использоваться в одной и той же стойке, если коммутатор работает под управлением операционной системы Cisco IOS версии 12.2(14)SY (Sup2) или 12.2(17a)SX10 (Sup720). В настоящее время отсутствуют версии операционной системы CatOS, которые поддерживают эти модули служб в одной и той же стойке 6500 или 7600.

Вопрос. Какие настройки необходимо выполнить для FWSM?

Ответ. Параметрами настройки и управления являются следующие параметры:

Параметр Версия Описание
Центр управления для брандмауэров Версия 1.1.1 и более поздние* Это web-интерфейс для настройки нескольких брандмауэров и для управления ими.

Примечание:  Поддержка для групп служб в рамках группирования объектов ограничено. Группы служб успешно анализируются, но тут же выравниваются. Это влияет на команды с ключевыми словами icmp-type, protocol и service. Это ограничение применимо к версии 1.3 и более ранним.

Центр контроля для безопасности Версия 1.2 и более поздние* Это web-интерфейс для мониторинга устройств защиты Cisco. Это программное обеспечение организует централизованное управление системным журналом со стороны нескольких устройств защиты Cisco, реализуя гибкие механизмы создания отчетов и оповещений.
Центр контроля для производительности Версия 2.0 и более поздние* Это web-интерфейс для мониторинга функционирования служб, обеспечивающих защиту сети, а также для поиска и устранения неисправностей в их работе. Базовым протоколом, используемым в этом случае, является Simple Network Management Protocol (SNMP).
PDM Версия 2.1 Это web-интерфейс для настройки и мониторинга одного брандмауэра, а также для управления им. PIX Device Manager (PDM) необходимо установить локально на брандмауэре PIX.
Telnet Н/П Telnet предоставляет доступ к брандмауэру посредством интерфейса командной строки (CLI).

Примечание:  Для разрешения доступа программы Telnet к интерфейсу с наименьшей защищенностью (общеизвестного в качестве внешнего интерфейса) необходимо настроить протокол IPsec для управления.

Secure Shell (SSH) Н/П SSH предоставляет защищенный удаленный доступ к брандмауэру посредством CLI.
SNMP Н/П SNMP предоставляет способ мониторинга FWSM.

Примечание:  SNMP используется только для чтения на FWSM.

Системный журнал (Syslog) Н/П Системный журнал предоставляет способ мониторинга FWSM.

* Эта программа является частью набора CiscoWorks VPN/Security Management Solution (VMS). Эта программа обеспечивает интегрированный подход к управлению безопасностью устройств Cisco через интерфейс обозревателя для сетей предприятия.

Вопрос. Что такое SVI? Можно ли настроить несколько SVI?

Ответ. SVI означает коммутируемый виртуальный интерфейс. Он представляет собой логический интерфейс третьего уровня на коммутаторе. Для CatOS версии ниже 7.6(1) и Cisco IOS версии ниже 12.2(14)SY разрешен только один коммутируемый виртуальный интерфейс в качестве компонента брандмауэра сетей VLAN. Другими словами, только один интерфейс третьего уровня может быть настроен между FWSM и MSFC. Попытка настроить несколько SVI приведет к отображению в интерфейсе командной строки сообщения об ошибке.

Для CatOS версий не ниже 7.6(1) и для Cisco IOS версий не ниже 12.2(14)SY, FWSM поддерживает несколько SVI. По умолчанию поддерживается только один коммутируемый виртуальный интерфейс (SVI). Использование одной из нижеследующих команд разрешает поддержку на коммутаторе нескольких SVI.

Если коммутатор настраивается для нескольких FWSM VLAN и выдается сообщение об ошибке, указывающее на наличие более одного SVI, то необходимо проверить настройки коммутатора и (или) MSFC для того, чтобы убедиться в существовании только одного интерфейса третьего уровня (или интерфейса VLAN) в качестве части брандмауэра сетей VLAN.

Примечание: Используйте только один коммутируемый виртуальный интерфейс. Это позволяет избежать сложной настройки, включающей маршрутизацию на основе политик.

Вопрос. Почему нельзя проверить соединение с FWSM на интерфейсе с прямым подключением?

Ответ. По умолчанию на каждом интерфейсе запрещено использование ICMP-протокола. Чтобы разрешить отправку ICMP-пакетов на этот интерфейс, используйте команду icmp. Это поведение отличается от соответствующего поведения для PIX.

Примечание:  Если отправка ICMP-пакетов на интерфейс запрещена с помощью команды icmp, то в ARP-таблице будут, по-прежнему, отображаться корректные MAC-адреса. Если MAC-адреса не отображаются, то перейдите к следующему вопросу.

Вопрос. Невозможно проверить соединение с FWSM на интерфейсе с прямым подключением и для этого интерфейса отсутствует запись в ARP-таблице. Коммутатор работает под управлением операционной системы CatOS. Какие действия следует предпринять?

Ответ. Настройка интерфейсов в рамках конфигурации FWSM (с помощью команды nameif) или на MSFC [ с помощью команды interface vlan] перед их настройкой на коммутаторе (в модуле Supervisor для CatOS) может привести к прекращению функционирования интерфейсов с отсутствием ARP-записи и отклика на ICMP-пакеты.

При настройке интерфейса на FWSM или MSFC, принадлежащих к брандмауэру сетей VLAN, перед настройкой коммутатора необходимо удалить запись для FWSM или MSFC, перезагрузить модуль, а затем повторно добавить запись.

Вопрос. Почему нельзя проверить соединение с FWSM или передать через него какие-либо данные?

Ответ. Трансляции сетевых адресов должна быть настроена с помощью команд nat 0, nat/global илиstatic для трафика проходящего через FWSM и поступающего от высокозащищенного интерфейса (внутренний интерфейс) к низкозащищенному интерфейсу (внешний интерфейс).

Необходимо также использовать команду access-list для реализации списков управления доступом, которые разрешают прохождение трафика через FWSM. По умолчанию списки управления доступом запрещают весь трафик на все интерфейсы (deny ip any any). Это поведение отличается от конфигурации по умолчанию для PIX, который разрешает трафик по направлению от высокозащищенного к низкозащищенному интерфейсу и запрещает трафик по направлению от низкозащищенного к высокозащищенному интерфейсу. Настройте список управления доступом с помощью команды permit ip any any и примените его к высокозащищенному интерфейсу, чтобы сделать поведение FWSM аналогичным поведению PIX.

Вопрос. Можно проверить соединение с интерфейсом FWSM, который напрямую подключен к сети, однако, нельзя проверить соединение с другими интерфейсами. Это нормальная ситуация?

Ответ. Да. Это встроенный механизм защиты, который также существует в брандмауэре PIX.

Вопрос. Можно ли настроить восстановление после отказа между двумя FWSM, использующими различные версии программы?

Ответ. Нет. Восстановление после отказа требует, чтобы оба FWSM работали с одной и той же версией программы. Во время восстановления после отказа проверяется версия программ узлов и если версии различаются, то восстановление невозможно. По этой причине необходимо обновить оба FWSM в одно и тоже время.

Вопрос. Можно ли настроить восстановление после отказа между двумя FWSM в различных стойках?

Ответ. Да. Однако, FWSM должны быть соединены с помощью средств второго уровня на всех интерфейсах. Другими словами, все интерфейсы должны иметь возможность обмениваться между собой широковещательными пакетами второго уровня [ARP и т.д.]. Пакеты протокола восстановления после отказа не могут маршрутизироваться на третьем уровне.

Вопрос. Между двумя FWSM настроено восстановление после отказа, но они не синхронизируются. Что может быть причиной этому?

Ответ. Прежде чем использовать эту конфигурацию, убедитесь, что она отвечает требованиям для восстановления после отказа:

Вопрос. Где можно найти сведения о сообщениях об ошибках, относящихся к FWSM?

Ответ. Средство декодирования сообщений об ошибках (только для зарегистрированных пользователей) предоставляет подробные сведения о сообщениях об ошибках для FWSM. Документация по системным сообщениям также содержит полезные сведения. Если необходима дальнейшая помощь, то следует обратиться в центр технической поддержки Cisco.

Вопрос. Где можно найти сведения о существующих дефектах для FWSM?

Ответ. Подробнее о существующих ошибках см. в Bug Toolkit (только для зарегистрированных пользователей) .

Вопрос. Какое количество VLAN может поддерживать FWSM?

Ответ. FWSM версии 1.1 поддерживает 100 VLAN, а FWSM версии 2.1 поддерживает 250 VLAN.

Вопрос. Поддерживает ли FWSM команду access-list compiled?

Ответ. Так как FWSM автоматически транслирует списки управления доступом в аппаратное обеспечение после 10 секунд бездействия в интерфейсе командной строки, то необходимость в скоростных списках управления доступом отсутствует. FWSM версии 2.1 обеспечивает дополнительную функциональность назначения при трансляции списков управления доступом.

Вопрос. Поддерживает ли FWSM выполнение команды auto-cost reference-bandwidth в IOS с помощью протокола OSPF?

Ответ. Нет. FWSM не знает о подключенных к нему физических портах. Стоимость OSPF должна настраиваться вручную для каждого интерфейса с помощью команды ospf cost.

Вопрос. Может ли использоваться протокол OSPF в топологии, когда два различных интерфейса FWSM подключены к одной и той же сети?

Ответ. Да. Эта возможность доступна в версии 2.1 и более поздних.

Вопрос. Какие протоколы маршрутизации поддерживаются FWSM?

Ответ. Поддерживаются протокол маршрутной информации (RIP) и протокол первоочередного открытия кратчайших маршрутов (OSPF). Для получения дополнительных сведений проведите поиск по ключевому слову "брандмауэр" в документах под названием Замечания к версии Catalyst 6500 и Документация по установке и настройке Catalyst 6500.

Вопрос. Поддерживается ли многоадресность (протокол IGMPv2 и маршрутизация с мультивещанием) на FWSM?

Ответ. Да. Эта возможность доступна в FWSM версии 2.1 и более поздних. Если используется версия 1.1, то в качестве временной меры можно использовать GRE-туннелирование.

Вопрос. Поддерживает ли FWSM фильтрацию URL-адресов?

Ответ. Да. Функция Websense поддерживается начиная с версии 1.1, а в версии 2.1 добавлена дополнительная поддержка для N2H2.

Вопрос. Почему фрагментированные пакеты отклоняются FWSM?

Ответ. По умолчанию фрагментированные пакеты не могут передаваться на FWSM. Для настройки этой функции можно использовать команду fragment. Это поведение отличается от соответствующего поведения для брандмауэра PIX. Протоколами, использующими фрагментированные пакеты, являются OSPF-протокол и NFS-протокол.

Вопрос. Можно ли прерывать VPN-соединения на FWSM?

Ответ. Функциональность VPN не поддерживается на FWSM. За прерывание VPN-соединений отвечают коммутатор и (или) модуль служб VPN. Лицензия 3DES предоставляется только для целей управления, например, для подключения к низкозащищенному интерфейсу через Telnet, Secure Shell (SSH) и Secure HTTP (HTTPS).

Вопрос. Поддерживается ли на FWSM аутентификация, авторизация и ведение учета (AAA) для RADIUS или TACACS+?

Ответ. AAA поддерживается как для управления FWSM, так и для прохождения трафика через FWSM. Дополнительные сведения см. в документе под названием Документация по модулю служб брандмауэра.

FWSM обеспечивает функциональность сходную с функциональностью брандмауэра PIX, кроме загружаемых списков управления доступом и VPN. Помня об этом, можно использовать документацию по брандмауэру PIX в качестве руководства для настройки FWSM.

Вопрос. Как выполнить восстановление пароля для FWSM?

Ответ. Дополнительные сведения о восстановлении паролей см. в следующих документах:

Вопрос. Поддерживает ли FWSM работу с джамбо-пакетами?

Ответ. Да. FWSM поддерживает работу с джамбо пакетами.

Вопрос. Имеется лицензия для FWSM, функционирующего в режиме параллельных соединений. Можно ли получить лицензию для резервного FWSM в случае выхода из строя аппаратного обеспечения?

Ответ. Лицензия для резервного FWSM может быть получена. Однако, необходимо в установленном порядке заказать лицензию для резервного FWSM. В случае выхода из строя аппаратного обеспечения, обратитесь в центр технической поддержки Cisco для устранения неполадок и получения лицензии для запасного FWSM. Для получения сведений о лицензировании см. документ под названием Программа модуля брандмауэра Cisco версии 2.2(1).

Вопрос. Как разместить дополнительные VLAN после FWSM?

Ответ. Используйте команду nameif, если необходимо добавить в конфигурацию vlan 200. Уровень безопасности должен находиться между 0 и 100. Полный синтаксис команды — nameif vlan200 <interface name> <security level>.

Вопрос. Какое количество VLAN можно разместить после FWSM, использующего режим одиночной контекстной маршрутизации?

Ответ. Можно разместить 1000 VLAN после FWSM, использующего режим одиночной контекстной маршрутизации.

Вопрос. В чем разница между брандмауэром PIX и модулем служб брандмауэра?

Ответ. PIX и FWSM основаны на одной и той же программе. Однако, существует два фундаментальных отличия. PIX поддерживает функциональность VPN и IDS. FWSM не поддерживает функциональность VPN и IDS, так как эти функции реализованы в других линейных платах. Дополнительные сведения о модуле служб IDSM-2 для Catalyst 6500 см. в документе под названием Модуль служб IDSM-2 для Catalyst 6500. Дополнительные сведения о модуле служб IPsec VPN для Catalyst 6500 см. в документе под названием Модуль служб IPsec VPN для Catalyst 6500.

В следующей документации приводятся сведения о незначительных различиях между PIX и FWSM:

Вопрос. На FWSM для каждого интерфейса невозможно выполнить команды множественного группового доступа. FWSM работает только с одной группой доступа для каждого интерфейса. Почему?

Ответ. При выполнении этих команд в FWSM, отображается только последняя команда access-group:

access-group allow_icmp in interface outside
access-group allow_caltech in interface outside 

Это происходит только из-за того, что FWSM допускает только один список доступа для каждого интерфейса на одно направление.

Вопрос. Поддерживается ли PVLAN на FWSM?

Ответ. Поддержка PVLAN начата в программе начиная с версии 3.1. Если версия программы ниже 3.1, то возможным единственным решением является подключение разнородного порта PVLAN с помощью кросс-кабеля к обычному порту доступа с последующей брандмауэрной защитой VLAN этого порта доступа.

Вопрос. Поддерживаются ли номера строк списка доступа в FWSM?

Ответ. В настоящее время эта функция не поддерживается в программе версий 2.х.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 46385