Voorbeeld van basisconfiguratie van FWSM

Downloadopties

  • PDF     (304.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (90.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (83.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 september 2007
Document-id:98591

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe u de basisconfiguratie configureert van de Firewall Services Module (FWSM) die is geïnstalleerd in de Cisco-Switches uit de 6500-reeks of de Cisco-routers uit de 7600-reeks. Dit omvat de configuratie van het IP-adres, standaardroutering, statische en dynamische NATing, ACL-verklaringen (Access Control Lists) om het gewenste verkeer mogelijk te maken of het ongewenste verkeer te blokkeren, toepassingsservers zoals Websense voor de inspectie van het internetverkeer vanuit het interne netwerk en de Webserver voor de internetgebruikers.

Opmerking: in een FWSM High Availability (HA)-scenario kan de failover alleen met succes worden gesynchroniseerd wanneer de licentiesleutels precies hetzelfde zijn tussen de modules. Daarom kan de failover niet werken tussen de FWSM's met verschillende licenties.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Firewall Services-module waarop softwareversie 3.1 en hoger wordt uitgevoerd

  • Catalyst 6500 serie switches, met de vereiste onderdelen zoals afgebeeld:

    1. Supervisor-engine met Cisco IOS®-software, die bekend staat als supervisor Cisco IOS of Catalyst-besturingssysteem (OS). Zie tabel voor ondersteunde engine- en softwarereleases voor supervisor.

    2. Multilayer Switch Feature Card (MSFC) 2 met Cisco IOS-software. Zie Tabel voor ondersteunde Cisco IOS-softwarereleases.

      Supervisor-motoren1
    Cisco IOS-softwarerelease
    Cisco IOS Software Release 12.2(18)SXF en hoger 720, 32
    Cisco IOS Software Release 12.2(18)SXF2 en hoger 2, 720, 32
    Cisco IOS-softwaremodulariteit
    Cisco IOS Software Release 12.2(18)SXF4 720, 32
    Catalyst OS2
    8.5, lid 3 en later 2, 720, 32

1 De FWSM ondersteunt toezichthouder 1 of 1A niet.

2Wanneer u Catalyst OS op de supervisor gebruikt, kunt u een van deze ondersteunde Cisco IOS-softwarereleases op de MSFC gebruiken. Wanneer u Cisco IOS-software op de supervisor gebruikt, gebruikt u dezelfde release op de MSFC.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt voor de Cisco 7600-routers, met de vereiste componenten zoals weergegeven:

  • Supervisor-engine met Cisco IOS-software. Zie Tabel voor ondersteunde supervisor-engine en Cisco IOS-softwarereleases.

  • MSFC 2 met Cisco IOS-software. Zie Tabel voor ondersteunde Cisco IOS-softwarereleases.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

De FWSM is een krachtige, ruimtebesparende, stateful firewallmodule die wordt geïnstalleerd in de Catalyst 6500-serie switches en de Cisco 7600-serie routers.

Firewalls beschermen interne netwerken tegen ongeoorloofde toegang door gebruikers op een extern netwerk. De firewall kan ook interne netwerken van elkaar beschermen, bijvoorbeeld wanneer u een human resources-netwerk gescheiden houdt van een gebruikersnetwerk. Als u netwerkbronnen hebt die beschikbaar moeten zijn voor een externe gebruiker, zoals een web- of FTP-server, kunt u deze bronnen op een apart netwerk achter de firewall plaatsen, een gedemilitariseerde zone (DMZ) genoemd. De firewall biedt beperkte toegang tot de DMZ, maar omdat de DMZ alleen de openbare servers omvat, heeft een aanval daar alleen invloed op de servers en heeft deze geen invloed op de andere interne netwerken. U kunt ook bepalen wanneer gebruikers binnen netwerken toegang hebben tot externe netwerken, bijvoorbeeld toegang tot internet, als u alleen bepaalde adressen toestaat, verificatie of autorisatie vereist of coördineert met een externe URL-filterserver.

De FWSM bevat veel geavanceerde functies, zoals meerdere beveiligingscontexten die vergelijkbaar zijn met gevirtualiseerde firewalls, transparante (Layer 2) firewall of gerouteerde (Layer 3) firewallwerking, honderden interfaces en nog veel meer functies.

Tijdens de discussie over netwerken die zijn verbonden met een firewall, bevindt het externe netwerk zich voor de firewall, is het interne netwerk beveiligd en achter de firewall, en een DMZ, terwijl achter de firewall, beperkte toegang biedt aan externe gebruikers. Omdat de FWSM u in staat stelt veel interfaces te configureren met een gevarieerd beveiligingsbeleid, waaronder veel interne interfaces, veel DMZ's en zelfs veel externe interfaces indien gewenst, worden deze termen alleen in algemene zin gebruikt.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de opzoekfunctie voor opdrachten (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

fwsm-basic-config.gif

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918 adressen die in een laboratoriumomgeving zijn gebruikt.

Configuraties

Dit document gebruikt de volgende configuraties:

Switch van de Catalyst 6500-reeks configureren

  1. U kunt de FWSM installeren in de Catalyst 6500-serie switches of de Cisco 7600-serie routers. De configuratie van beide reeksen is gelijk en de reeksen worden in dit document in het algemeen de switch genoemd.

    Opmerking: u moet de switch correct configureren voordat u FWSM configureert.

  2. VLAN's toewijzen aan de Firewall Services Module—In dit gedeelte wordt beschreven hoe u VLAN's toewijst aan de FWSM. De FWSM bevat geen externe fysieke interfaces. Het maakt gebruik van VLAN-interfaces. Het toewijzen van VLAN's aan de FWSM is vergelijkbaar met het toewijzen van een VLAN aan een buspoort; de FWSM bevat een switch aan de Switch Fabric Module, indien aanwezig, of de gedeelde bus.

    Opmerking: Raadpleeg het gedeelte VLAN's configureren van de softwareconfiguratiehandleiding voor Catalyst 6500 Switches voor meer informatie over het maken van VLAN's en het toewijzen ervan aan switch-poorten.

    1. VLAN-richtlijnen:

      1. U kunt privé-VLAN's gebruiken met de FWSM. Wijs het primaire VLAN toe aan de FWSM; de FWSM verwerkt automatisch het secundaire VLAN-verkeer.

      2. U kunt geen gereserveerde VLAN's gebruiken.

      3. U kunt VLAN 1 niet gebruiken.

      4. Als u FWSM-failover gebruikt binnen hetzelfde switch-chassis, wijst u de VLAN's die u hebt gereserveerd voor failover en stateful communications niet toe aan een switch-poort. Maar als u failover tussen chassis gebruikt, moet u de VLAN's opnemen in de trunkpoort tussen het chassis.

      5. Als u de VLAN's niet aan de switch toevoegt voordat u ze aan de FWSM toewijst, worden de VLAN's opgeslagen in de database van de supervisor-engine en naar de FWSM verzonden zodra ze aan de switch zijn toegevoegd.

      6. Wijs VLAN's toe aan de FWSM voordat u ze toewijst aan de MSFC.

        VLAN's die niet aan deze voorwaarde voldoen, worden verwijderd uit het bereik van VLAN's die u probeert toe te wijzen op de FWSM.

    2. VLAN's toewijzen aan de FWSM in Cisco IOS-software:

      Maak in Cisco IOS-software maximaal 16 firewall VLAN-groepen en wijs de groepen vervolgens toe aan de FWSM. U kunt bijvoorbeeld alle VLAN's aan één groep toewijzen, of u kunt een binnengroep en een buitengroep maken, of u kunt voor elke klant een groep maken. Elke groep kan onbeperkte VLAN's bevatten.

      U kunt hetzelfde VLAN niet aan meerdere firewallgroepen toewijzen. U kunt echter wel meerdere firewallgroepen aan een FWSM toewijzen en u kunt één firewallgroep aan meerdere FWSM's toewijzen. VLAN's die u aan meerdere FWSM's wilt toewijzen, kunnen bijvoorbeeld in een afzonderlijke groep van VLAN's verblijven die uniek zijn voor elke FWSM.

      1. Voer de volgende stappen uit om VLAN's aan de FWSM toe te wijzen:

        Router(config)#firewall vlan-group firewall_group vlan_range

        Het vlan_bereik kan een of meer VLAN's zijn, bijvoorbeeld 2 tot 1000 en van 1025 tot 4094, geïdentificeerd als een enkel nummer (n) zoals 5, 10, 15 of een bereik (n-x) zoals 5-10, 10-20.

        Opmerking: Routed-poorten en WAN-poorten verbruiken interne VLAN's, dus het is mogelijk dat VLAN's in het bereik 1020-1100 al in gebruik kunnen zijn.

        Voorbeeld: 

        firewall vlan-group 1 10,15,20,25

      2. Voer de stappen uit om de firewallgroepen aan de FWSM toe te wijzen.

        Router(config)#firewall module module_number vlan-group firewall_group

        De firewall_group is een of meer groepsnummers als een enkel nummer (n) zoals 5 of een bereik zoals 5-10.

        Voorbeeld: 

        firewall module 1 vlan-group 1

    3. VLAN's toewijzen aan de FWSM in Catalyst Operating System Software—In Catalyst OS-software wijst u een lijst met VLAN's toe aan de FWSM. U kunt hetzelfde VLAN desgewenst aan meerdere FWSM's toewijzen. De lijst kan onbeperkte VLAN's bevatten.

      Voer de stappen uit om VLAN's aan de FWSM toe te wijzen.

      Console> (enable)set vlan vlan_list firewall-vlan mod_num

      De vlan_list kan een of meer VLAN's zijn, bijvoorbeeld 2 tot 1000 en van 1025 tot 4094, geïdentificeerd als een enkel nummer (n) zoals 5, 10, 15 of een bereik (n-x) zoals 5-10, 10-20.

  3. Voeg geschakelde virtuele interfaces toe aan de MSFC: een VLAN dat op de MSFC is gedefinieerd, wordt een geschakelde virtuele interface genoemd. Als u het voor de SVI gebruikte VLAN toewijst aan de FWSM, worden de MSFC-routes tussen de FWSM en andere Layer 3-VLAN's uitgevoerd.

    Om veiligheidsredenen kan er standaard slechts één SVI bestaan tussen de MSFC en de FWSM. Als u het systeem bijvoorbeeld verkeerd configureert met meerdere SVI's, kunt u per ongeluk toestaan dat verkeer door de FWSM gaat als u zowel de binnen- als externe VLAN's toewijst aan de MSFC.

    Voer de stappen uit om de SVI te configureren

    Router(config)#interface vlan vlan_number
Router(config-if)#ip address address mask

    Voorbeeld: 

    interface vlan 20
ip address 192.168.1.1 255.255.255.0
Switch van de Catalyst 6500-reeks configureren 

!--- Output Suppressed

firewall vlan-group 1 10,15,20,25
firewall module 1 vlan-group 1

interface vlan 20
ip address 192.168.1.1 255.255.255.0

!--- Output Suppressed

Opmerking: Sessie in de FWSM van de switch met de opdracht die geschikt is voor uw switch-besturingssysteem:

  • Cisco IOS-software:

    Router#session slot  processor 1

  • Catalyst OS-software:

    Console> (enable) session module_number

(Optioneel) VLAN's delen met andere servicemodules—Als de switch andere servicemodules heeft, bijvoorbeeld Application Control Engine (ACE), is het mogelijk dat u sommige VLAN's met deze servicemodules moet delen. Raadpleeg Ontwerp van servicemodules met ACE en FWSM voor meer informatie over het optimaliseren van de FWSM-configuratie wanneer u met dergelijke andere modules werkt.

FWSM-configuratie

  1. Interfaces configureren voor FWSM—Voordat u verkeer via de FWSM kunt toestaan, moet u een interfacenaam en een IP-adres configureren. U moet ook het beveiligingsniveau wijzigen van het standaardniveau, dat 0 is. Als u een interface binnen een naam geeft en u het beveiligingsniveau niet expliciet instelt, stelt de FWSM het beveiligingsniveau in op 100.

    Opmerking: Elke interface moet een beveiligingsniveau hebben van 0 (laagste) tot 100 (hoogste). U moet bijvoorbeeld uw meest veilige netwerk, zoals het interne hostnetwerk, toewijzen aan niveau 100, terwijl het externe netwerk dat is verbonden met internet niveau 0 kan zijn. Andere netwerken, zoals DMZ's, kunnen daartussen liggen.

    U kunt elke VLAN-ID aan de configuratie toevoegen, maar alleen VLAN's, bijvoorbeeld 10, 15, 20 en 25, die door de switch aan de FWSM zijn toegewezen, kunnen verkeer doorgeven. Gebruik de opdracht vlan tonen om alle VLAN's weer te geven die aan de FWSM zijn toegewezen.

    interface vlan 20
    nameif outside
    security-level 0
    ip address 192.168.1.2 255.255.255.0
interface vlan 10
    nameif inside
    security-level 100
    ip address 10.1.1.1 255.255.255.0
interface vlan 15
    nameif dmz1
    security-level 60
    ip address 192.168.2.1 255.255.255.224
interface vlan 25
    nameif dmz2
    security-level 50
    ip address 192.168.3.1 255.255.255.224

    Tip: In de opdracht name if <name> is de naam een tekenreeks van maximaal 48 tekens en is deze niet hoofdlettergevoelig. U kunt de naam wijzigen als u deze opdracht opnieuw invoert met een nieuwe waarde. Voer het formulier no niet in, omdat met die opdracht alle opdrachten die naar die naam verwijzen, worden verwijderd.

  2. De standaardroute configureren: 

    route outside 0.0.0.0 0.0.0.0 192.168.1.1

    Een standaardroute identificeert het IP-adres van de gateway (192.168.1.1) waarnaar FWSM alle IP-pakketten verzendt waarvoor het geen aangeleerde of statische route heeft. Een standaard route is een statische route met 0.0.0.0/0 als bestemming IP-adres. Routes die een specifieke bestemming identificeren, hebben voorrang op de standaardroute.

  3. Dynamic NAT vertaalt een groep echte adressen (10.1.1.0/24) naar een pool van toegewezen adressen (192.168.1.20-192.168.1.50) die routeerbaar zijn op het bestemmingsnetwerk. De toegewezen pool kan minder adressen bevatten dan de echte groep. Wanneer een host die u wilt vertalen toegang krijgt tot het bestemmingsnetwerk, wijst de FWSM het een IP-adres toe uit de toegewezen pool. De vertaling wordt alleen toegevoegd wanneer de echte host de verbinding initieert. De vertaling is alleen van kracht voor de duur van de verbinding en een bepaalde gebruiker behoudt niet hetzelfde IP-adres na de vertaaltime-out.

    nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0
access-list Internet extended deny ip any 192.168.2.0 255.255.255.0
access-list Internet extended permit ip any any
access-group Internet in interface inside

    U moet een ACL maken om het verkeer van het interne netwerk 10.1.1.0/24 te weigeren om naar het DMZ1-netwerk (192.168.2.0) te gaan en de andere soorten verkeer naar het internet toe te staan via de toepassing van het ACL-internet naar de interne interface als binnenwaartse richting voor inkomend verkeer.

  4. Statische NAT creëert een vaste vertaling van echte adressen naar toegewezen adressen.Met dynamische NAT en PAT gebruikt elke host een ander adres of poort voor elke volgende vertaling. Omdat het toegewezen adres hetzelfde is voor elke opeenvolgende verbinding met statische NAT en er een regel voor permanente vertaling bestaat, kunnen hosts op het bestemmingsnetwerk met statische NAT verkeer naar een vertaalde host initiëren, als er een toegangslijst is die dit toestaat.

    Het belangrijkste verschil tussen dynamische NAT en een reeks adressen voor statische NAT is dat statische NAT een externe host toestaat om een verbinding met een vertaalde host te initiëren, als er een toegangslijst is die dit toestaat, terwijl dynamische NAT dat niet doet. U hebt ook een gelijk aantal toegewezen adressen nodig als echte adressen met statische NAT.

    static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255
static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255
access-list outside extended permit tcp any host 192.168.1.10 eq http
access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-data
access-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status
access-list inbound extended permit udp any host 216.70.55.69 range 8766 30000
access-group outside in interface outside

    Dit zijn de twee statische NAT-instructies die worden weergegeven. De eerste is bedoeld om de echte IP 192.168.2.2 op de interne interface te vertalen naar de toegewezen IP 192.168.1.6 op het externe subnet, op voorwaarde dat de ACL het verkeer van de bron 192.168.1.30 naar de toegewezen IP 192.168.1.6 toestaat om toegang te krijgen tot de Websense-server in het DMZ1-netwerk. Evenzo was de tweede statische NAT-instructie bedoeld om de echte IP 192.168.3.2 op de interne interface te vertalen naar de toegewezen IP 192.168.1.10 op het externe subnet, op voorwaarde dat de ACL het internetverkeer naar de toegewezen IP 192.168.1.10 toestaat om toegang te krijgen tot de webserver in het DMZ2-netwerk en het upp-poortnummer in het bereik van 8766 tot 30000 heeft.

  5. De opdracht url-server geeft de server aan waarop de Websense URL-filtertoepassing wordt uitgevoerd. De limiet is 16 URL-servers in één contextmodus en vier URL-servers in meerdere modus, maar u kunt slechts één toepassing tegelijk gebruiken, N2H2 of Websense. Als u uw configuratie op het beveiligingstoestel wijzigt, wordt de configuratie op de toepassingsserver niet bijgewerkt. Dit moet afzonderlijk gebeuren, in overeenstemming met de instructies van de verkoper.

    De opdracht url-server moet worden geconfigureerd voordat u de opdracht filter voor HTTPS en FTP geeft. Als alle URL-servers uit de serverlijst worden verwijderd, worden ook alle filteropdrachten met betrekking tot URL-filtering verwijderd.

    Zodra u de server hebt aangewezen, schakelt u de URL-filterservice in met de opdracht URL-filter.

    url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5

    Met de opdracht filter-url kunt u voorkomen dat uitgaande gebruikers toegang krijgen tot World Wide Web-URL's die u aanwijst met de Websense-filtertoepassing.

    filter url http 10.1.1.0 255.255.255.0 0 0
FWSM-configuratie 

!--- Output Suppressed

interface vlan 20
    nameif outside
    security-level 0
    ip address 192.168.1.2 255.255.255.0
interface vlan 10
    nameif inside
    security-level 100
    ip address 10.1.1.1 255.255.255.0
interface vlan 15
    nameif dmz1
    security-level 60
    ip address 192.168.2.1 255.255.255.224
interface vlan 25
    nameif dmz2
    security-level 50
    ip address 192.168.3.1 255.255.255.224
passwd fl0wer
enable password treeh0u$e
route outside 0 0 192.168.1.1 1
url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5
url-cache dst 128
filter url http 10.1.1.0 255.255.255.0 0 0

!--- When inside users access an HTTP server, FWSM consults with a !--- Websense server in order to determine if the traffic is allowed.

nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0

!--- Dynamic NAT for inside users that access the Internet

static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255

!--- A host on the subnet 192.168.1.0/24 requires access to the Websense !--- server for management that use pcAnywhere, so the Websense server !--- uses a static translation for its private address.


static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255

!--- A host on the Internet requires access to the Webserver, so the Webserver !--- uses a static translation for its private address.


access-list Internet extended deny ip any 192.168.2.0 255.255.255.0
access-list Internet extended permit ip any any
access-group Internet in interface inside

!--- Allows all inside hosts to access the outside for any IP traffic, !--- but denies them access to the dmz1



access-list outside extended permit tcp any host 192.168.1.10 eq http

!--- Allows the traffic from the internet with the destination IP address !--- 192.168.1.10 and destination port 80


access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-data
access-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status


!--- Allows the management host 192.168.1.30 to use !--- pcAnywhere on the Websense server


access-list inbound extended permit udp any host 216.70.55.69 range 8766 30000


!--- Allows udp port number in the range of 8766 to 30000.


access-group outside in interface outside


access-list WEBSENSE extended permit tcp host 192.168.2.2 any eq http
access-group WEBSENSE in interface dmz1

!--- The Websense server needs to access the Websense !--- updater server on the outside. !--- Output Suppressed

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse van de opdrachtuitvoer show te bekijken.

  1. Bekijk de moduleinformatie volgens uw besturingssysteem om te controleren of de switch de FWSM erkent en online heeft gebracht:

    • Cisco IOS-software:

      Router#show module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1    2  Catalyst 6000 supervisor 2 (Active)    WS-X6K-SUP2-2GE    SAD0444099Y
  2   48  48 port 10/100 mb RJ-45 ethernet       WS-X6248-RJ-45     SAD03475619
  3    2  Intrusion Detection System             WS-X6381-IDS       SAD04250KV5
  4    6  Firewall Module                        WS-SVC-FWM-1       SAD062302U4

    • Catalyst OS-software:

      Console>show module [mod-num]
The following is sample output from the show module command:

Console> show module
Mod Slot Ports Module-Type               Model               Sub Status
--- ---- ----- ------------------------- ------------------- --- ------
1   1    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
15  1    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
4   4    2     Intrusion Detection Syste WS-X6381-IDS        no  ok
5   5    6     Firewall Module           WS-SVC-FWM-1        no  ok
6   6    8     1000BaseX Ethernet        WS-X6408-GBIC       no  ok

    Opmerking: De opdracht module tonen toont zes poorten voor de FWSM. Dit zijn interne poorten die zijn gegroepeerd als een EtherChannel.

  2. Router#show firewall vlan-group
Group vlans
----- ------
   1 10,15,20
   51 70-85
   52 100
  3. Router#show firewall module
Module Vlan-groups
  5    1,51
  8    1,52

  4. Voer de opdracht voor uw besturingssysteem in om de huidige opstartpartitie te bekijken:

    • Cisco IOS-software:

      Router#show boot device [mod_num]

      Voorbeeld: 

      Router#show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:

    • Catalyst OS-software:

      Console> (enable) show boot device mod_num

      Voorbeeld: 

      Console> (enable) show boot device 6
Device BOOT variable = cf:5

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

  1. De standaard opstartpartitie instellen: de FWSM wordt standaard opgestart vanaf de cf:4-toepassingspartitie. Maar u kunt ervoor kiezen om op te starten vanaf de cf:5-toepassingspartitie of in de cf:1-onderhoudspartitie. Als u de standaard opstartpartitie wilt wijzigen, voert u de opdracht voor uw besturingssysteem in:

    • Cisco IOS-software:

      Router(config)#boot device module mod_num cf:n

      Wanneer n 1 (onderhoud), 4 (toepassing) of 5 (toepassing) is.

    • Catalyst OS-software:

      Console> (enable) set boot device cf:n mod_num

      Wanneer n 1 (onderhoud), 4 (toepassing) of 5 (toepassing) is.

  2. De FWSM opnieuw instellen in Cisco IOS Software—Als u de FWSM opnieuw wilt instellen, voert u de opdracht in zoals wordt weergegeven:

    Router#hw-module module mod_num reset [cf:n] [mem-test-full]

    Het cf:n argument is de partitie, ofwel 1 (onderhoud), 4 (toepassing), of 5 (toepassing). Als u de partitie niet opgeeft, wordt de standaardpartitie gebruikt, meestal cf:4.

    De optie mem-test-full voert een volledige geheugentest uit, die ongeveer zes minuten in beslag neemt.

    Voorbeeld: 

    Router#hw-mod module 9 reset
Proceed with reload of module? [confirm] y
% reset issued for module 9
Router#
00:26:55:%SNMP-5-MODULETRAP:Module 9 [Down] Trap
00:26:55:SP:The PC in slot 8 is shutting down. Please wait ...

    Voor Catalyst OS-software:

    Console> (enable) reset mod_num [cf:n]

    Waar cf:n de partitie is, ofwel 1 (onderhoud), 4 (toepassing), of 5 (toepassing). Als u de partitie niet opgeeft, wordt de standaardpartitie gebruikt, meestal cf:4.

Opmerking: NTP kan niet worden geconfigureerd op FWSM, omdat het de instellingen van de Switch gebruikt.

Probleem: kan het VLAN-verkeer niet doorgeven van FWSM naar de IPS-sensor 4270

U kunt het verkeer niet doorgeven van FWSM naar de IPS-sensoren.

Oplossing

Om verkeer door de IPS te forceren, is de truc om een extra VLAN te maken om een van uw huidige VLAN's effectief in tweeën te breken en ze vervolgens samen te overbruggen. Controleer dit voorbeeld met VLAN 401 en 501 om het volgende te verduidelijken:

  • Als u verkeer wilt scannen op het hoofdnetwerk van VLAN 401, maakt u een ander VLAN 501 (hulpnetwerk). Schakel vervolgens de VLAN-interface 401 uit, die de hosts in 401 momenteel gebruiken als hun standaardgateway.

  • Schakel vervolgens de VLAN 501-interface in met hetzelfde adres dat u eerder hebt uitgeschakeld in de VLAN 401-interface.

  • Plaats een van de IPS-interfaces in VLAN 401 en de andere in VLAN 501.

U hoeft alleen maar de standaardgateway voor VLAN 401 naar VLAN 501 te verplaatsen. U moet dezelfde wijzigingen uitvoeren voor VLAN's als deze aanwezig zijn. Merk op dat VLAN's in wezen als LAN-segmenten zijn. U kunt een standaardgateway op een ander stuk draad hebben dan de hosts die het gebruiken.

Uitgifte van out-of-order pakketten in FWSM

Hoe kan ik het probleem van de out-of-order pakketten oplossen in FWSM?

Oplossing

Geef de opdracht sysopt np completion-unit uit in globale configuratiemodus om het probleem met het Out-Of-Order-pakket in FWSM op te lossen. Deze opdracht is geïntroduceerd in FWSM versie 3.2(5) en zorgt ervoor dat pakketten worden doorgestuurd in dezelfde volgorde waarin ze zijn ontvangen.

Probleem: asymmetrisch gerouteerde pakketten kunnen niet door de firewall worden geleid

Het is niet mogelijk om asymmetrisch gerouteerde pakketten door de firewall te leiden.

Oplossing

Geef de opdracht Advanced-options tcp-state-bypass (Geavanceerde opties voor verbinding) uit in de klassenconfiguratiemodus om pakketten asymmetrisch door de firewall te leiden. Dit commando werd geïntroduceerd in FWSM versie 3.2(1).

Netflow-ondersteuning in FWSM

Ondersteunt FWSM Netflow?

Oplossing

Netflow wordt niet ondersteund in FWSM.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
21-Aug-2007
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten