Exemplo de configuração básica do FWSM

Opções de download

  • PDF     (305.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (90.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (83.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de setembro de 2007
ID do documento:98591

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar a configuração básica do Firewall Services Module (FWSM) instalado nos Cisco 6500 Series Switches ou nos Cisco 7600 Series Routers. Isso inclui a configuração do endereço IP, roteamento padrão, NATing estático e dinâmico, instruções de Listas de Controle de Acesso (ACLs) para permitir o tráfego desejado ou bloquear o tráfego indesejado, servidores de aplicativos como Websense para a inspeção do tráfego da Internet da rede interna e o Servidor Web para os usuários da Internet.

Observação: em um cenário de alta disponibilidade (HA) do FWSM, o failover só pode ser sincronizado com êxito quando as chaves de licença são exatamente as mesmas entre os módulos. Portanto, o failover não pode funcionar entre os FWSMs com licenças diferentes.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Firewall Services Module com software versão 3.1 e posterior

  • Catalyst 6500 Series Switches, com os componentes necessários conforme mostrado:

    1. Mecanismo supervisor com o software Cisco IOS®, conhecido como supervisor Cisco IOS ou sistema operacional Catalyst (OS). Consulte a Tabela para obter informações sobre o mecanismo supervisor e as versões de software compatíveis.

    2. Placa de Recurso de Switch Multicamada (MSFC - Multilayer Switch Feature Card) 2 com software Cisco IOS. Consulte a Tabela para obter informações sobre as versões suportadas do software Cisco IOS.

      Mecanismos de supervisão1
    Versão do Cisco IOS Software
    Software Cisco IOS versão 12.2(18)SXF e posterior 720, 32
    Software Cisco IOS versão 12.2(18)SXF2 e posterior 2, 720, 32
    Modularidade do Cisco IOS Software
    Software Cisco IOS versão 12.2(18)SXF4 720, 32
    Catalyst OS2
    8.5(3) e posterior 2, 720, 32

1 O FWSM não suporta o supervisor 1 ou 1A.

2Ao usar o Catalyst OS no supervisor, você pode usar qualquer uma dessas versões do Cisco IOS Software suportadas no MSFC. Quando você usa o software Cisco IOS no supervisor, você usa a mesma versão no MSFC.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser usada para os roteadores da série Cisco 7600, com os componentes necessários conforme mostrado:

  • Mecanismo supervisor com o software Cisco IOS. Consulte a Tabela para obter informações sobre as versões suportadas do mecanismo supervisor e do software Cisco IOS.

  • MSFC 2 com o software Cisco IOS. Consulte a Tabela para obter informações sobre as versões suportadas do software Cisco IOS.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O FWSM é um módulo de firewall stateful de alto desempenho, que economiza espaço e é instalado nos switches da série Catalyst 6500 e nos roteadores da série Cisco 7600.

Os firewalls protegem as redes internas de acesso não autorizado de usuários em uma rede externa. O firewall também pode proteger as redes internas umas das outras, por exemplo, quando você mantém uma rede de recursos humanos separada de uma rede de usuário. Se você tiver recursos de rede que precisam estar disponíveis para um usuário externo, como um servidor Web ou FTP, poderá colocar esses recursos em uma rede separada atrás do firewall, chamada de zona desmilitarizada (DMZ). O firewall permite acesso limitado à DMZ, mas como a DMZ inclui apenas os servidores públicos, um ataque afeta apenas os servidores e não afeta as outras redes internas. Você também pode controlar quando os usuários internos acessam redes externas, por exemplo, o acesso à Internet, se você permitir apenas determinados endereços, exigir autenticação ou autorização ou coordenar com um servidor externo de filtragem de URL.

O FWSM inclui muitos recursos avançados, como vários contextos de segurança que são semelhantes a firewalls virtualizados, firewall transparente (Camada 2) ou operação de firewall roteado (Camada 3), centenas de interfaces e muitos outros recursos.

Durante a discussão sobre redes conectadas a um firewall, a rede externa fica na frente do firewall, a rede interna é protegida e atrás do firewall, e uma DMZ, enquanto atrás do firewall, permite acesso limitado a usuários externos. Como o FWSM permite configurar muitas interfaces com políticas de segurança variadas, o que inclui muitas interfaces internas, muitas DMZs e até muitas interfaces externas, se desejado, esses termos são usados apenas em um sentido geral.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

fwsm-basic-config.gif

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918, que foram usados em um ambiente de laboratório.

Configurações

Este documento utiliza as seguintes configurações:

Configuração do switch Catalyst 6500 Series

  1. Você pode instalar o FWSM nos Catalyst 6500 Series Switches ou nos Cisco 7600 Series Routers. A configuração de ambas as séries é idêntica e as séries são referidas genericamente neste documento como o switch.

    Observação: você precisa configurar o switch adequadamente antes de configurar o FWSM.

  2. Atribuir VLANs ao Firewall Services Module — Esta seção descreve como atribuir VLANs ao FWSM. O FWSM não inclui nenhuma interface física externa. Em vez disso, ele usa interfaces VLAN. A atribuição de VLANs ao FWSM é semelhante à atribuição de uma VLAN a uma porta de switch; o FWSM inclui uma interface interna para o módulo de matriz de comutação, se presente, ou para o barramento compartilhado.

    Observação: consulte a seção Configuração de VLANs do Guia de Configuração de Software dos Catalyst 6500 Switches para obter mais informações sobre como criar VLANs e atribuí-las às portas do switch.

    1. Diretrizes de VLAN:

      1. Você pode usar VLANs privadas com o FWSM. Atribuir a VLAN principal ao FWSM; o FWSM manipula automaticamente o tráfego da VLAN secundária.

      2. Você não pode usar VLANs reservadas.

      3. Você não pode usar a VLAN 1.

      4. Se você usar o failover de FWSM no mesmo chassi do switch, não atribua as VLANs que você reservou para failover e comunicação stateful a uma porta do switch. Mas, se você usar failover entre chassis, deverá incluir as VLANs na porta de tronco entre os chassis.

      5. Se você não adicionar as VLANs ao switch antes de atribuí-las ao FWSM, as VLANs serão armazenadas no banco de dados do mecanismo de supervisão e enviadas ao FWSM assim que forem adicionadas ao switch.

      6. Atribua VLANs ao FWSM antes de atribuí-las ao MSFC.

        As VLANs que não satisfazem essa condição são descartadas do intervalo de VLANs que você tenta atribuir no FWSM.

    2. Atribuir VLANs ao FWSM no Cisco IOS Software:

      No software Cisco IOS, crie até 16 grupos VLAN de firewall e atribua os grupos ao FWSM. Por exemplo, você pode atribuir todas as VLANs a um grupo, pode criar um grupo interno e um grupo externo ou pode criar um grupo para cada cliente. Cada grupo pode conter VLANs ilimitadas.

      Você não pode atribuir a mesma VLAN a vários grupos de firewall; no entanto, você pode atribuir vários grupos de firewall a um FWSM e pode atribuir um único grupo de firewall a vários FWSMs. As VLANs que você deseja atribuir a vários FWSMs, por exemplo, podem residir em um grupo separado das VLANs que são exclusivas de cada FWSM.

      1. Conclua as etapas para atribuir VLANs ao FWSM:

        Router(config)#firewall vlan-group firewall_group vlan_range

        O vlan_range pode ser uma ou mais VLANs, por exemplo, 2 a 1000 e de 1025 a 4094, identificadas como um único número (n) como 5, 10, 15 ou um intervalo (n-x) como 5-10, 10-20.

        Observação: as portas roteadas e as portas WAN consomem VLANs internas, portanto, é possível que as VLANs no intervalo 1020-1100 já estejam em uso.

        Exemplo: 

        firewall vlan-group 1 10,15,20,25

      2. Conclua as etapas para atribuir os grupos de firewall ao FWSM.

        Router(config)#firewall module module_number vlan-group firewall_group

        O firewall_group é um ou mais números de grupo como um único número (n) como 5 ou um intervalo como 5-10.

        Exemplo: 

        firewall module 1 vlan-group 1

    3. Atribuir VLANs ao FWSM no Software do Sistema Operacional Catalyst — No software Catalyst OS, você atribui uma lista de VLANs ao FWSM. Você pode atribuir a mesma VLAN a vários FWSMs, se desejar. A lista pode conter VLANs ilimitadas.

      Conclua as etapas para atribuir VLANs ao FWSM.

      Console> (enable)set vlan vlan_list firewall-vlan mod_num

      A vlan_list pode ser uma ou mais VLANs, por exemplo, 2 a 1000 e de 1025 a 4094, identificadas como um único número (n) como 5, 10, 15 ou um intervalo (n-x) como 5-10, 10-20.

  3. Adicionar interfaces virtuais comutadas ao MSFC — Uma VLAN definida no MSFC é chamada de interface virtual comutada. Se você atribuir a VLAN usada para o SVI ao FWSM, o MSFC roteará entre o FWSM e outras VLANs de Camada 3.

    Por motivos de segurança, por padrão, apenas uma SVI pode existir entre o MSFC e o FWSM. Por exemplo, se você configurar incorretamente o sistema com vários SVIs, poderá acidentalmente permitir que o tráfego passe pelo FWSM se atribuir VLANs internas e externas ao MSFC.

    Conclua as etapas para configurar o SVI

    Router(config)#interface vlan vlan_number
Router(config-if)#ip address address mask

    Exemplo: 

    interface vlan 20
ip address 192.168.1.1 255.255.255.0
Configuração do switch Catalyst 6500 Series 

!--- Output Suppressed

firewall vlan-group 1 10,15,20,25
firewall module 1 vlan-group 1

interface vlan 20
ip address 192.168.1.1 255.255.255.0

!--- Output Suppressed

Observação: inicie uma sessão no FWSM a partir do switch com o comando apropriado para o sistema operacional do switch:

  • Cisco IOS Software:

    Router#session slot  processor 1

  • Software Catalyst OS:

    Console> (enable) session module_number

(Opcional) Compartilhamento de VLANs com outros módulos de serviço — Se o switch tiver outros módulos de serviço, por exemplo, Application Control Engine (ACE), é possível que você tenha que compartilhar algumas VLANs com esses módulos de serviço. Consulte Service Module Design with ACE and FWSM para obter mais informações sobre como otimizar a configuração do FWSM quando você trabalha com outros módulos.

Configuração de FWSM

  1. Configurar interfaces para FWSM — Antes de permitir o tráfego através do FWSM, você precisa configurar um nome de interface e um endereço IP. Você também deve alterar o nível de segurança do padrão, que é 0. Se você nomear uma interface interna e não definir o nível de segurança explicitamente, o FWSM definirá o nível de segurança como 100.

    Observação: cada interface deve ter um nível de segurança de 0 (mais baixo) a 100 (mais alto). Por exemplo, você deve atribuir sua rede mais segura, como a rede de host interna, ao nível 100, enquanto a rede externa conectada à Internet pode ser do nível 0. Outras redes, como DMZs, podem estar no meio.

    Você pode adicionar qualquer ID de VLAN à configuração, mas somente as VLANs, por exemplo, 10, 15, 20 e 25, que são atribuídas ao FWSM pelo switch podem transmitir tráfego. Use o comando show vlan para visualizar todas as VLANs atribuídas ao FWSM.

    interface vlan 20
    nameif outside
    security-level 0
    ip address 192.168.1.2 255.255.255.0
interface vlan 10
    nameif inside
    security-level 100
    ip address 10.1.1.1 255.255.255.0
interface vlan 15
    nameif dmz1
    security-level 60
    ip address 192.168.2.1 255.255.255.224
interface vlan 25
    nameif dmz2
    security-level 50
    ip address 192.168.3.1 255.255.255.224

    Dica: no comando nameif <nome> , o nome é uma sequência de texto de até 48 caracteres e não diferencia maiúsculas de minúsculas. Você pode alterar o nome se inserir novamente esse comando com um novo valor. Não insira a forma no, pois esse comando faz com que todos os comandos que se referem a esse nome sejam excluídos.

  2. Configure a rota padrão: 

    route outside 0.0.0.0 0.0.0.0 192.168.1.1

    Uma rota padrão identifica o endereço IP do gateway (192.168.1.1) para o qual o FWSM envia todos os pacotes IP para os quais não tem uma rota aprendida ou estática. Uma rota padrão é simplesmente uma rota estática com 0.0.0.0/0 como o endereço IP destino. As rotas que identificam um destino específico têm precedência sobre a rota padrão.

  3. O NAT dinâmico converte um grupo de endereços reais (10.1.1.0/24) em um pool de endereços mapeados (192.168.1.20-192.168.1.50) que são roteáveis na rede destino. O pool mapeado pode incluir menos endereços do que o grupo real. Quando um host que você deseja converter acessa a rede de destino, o FWSM atribui a ele um endereço IP do pool mapeado. A conversão é adicionada somente quando o host real inicia a conexão. A conversão está em vigor somente durante a conexão, e um determinado usuário não mantém o mesmo endereço IP após o tempo limite da conversão.

    nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0
access-list Internet extended deny ip any 192.168.2.0 255.255.255.0
access-list Internet extended permit ip any any
access-group Internet in interface inside

    Você precisa criar uma ACL para negar o tráfego da rede interna 10.1.1.0/24 para entrar na rede DMZ1 (192.168.2.0) e permitir os outros tipos de tráfego para a Internet através da aplicação da Internet da ACL para a interface interna como direção de entrada para o tráfego de entrada.

  4. O NAT estático cria uma conversão fixa de endereço(s) real(is) em endereço(s) mapeado(s).Com o NAT dinâmico e o PAT, cada host usa um endereço ou porta diferente para cada conversão subsequente. Como o endereço mapeado é o mesmo para cada conexão consecutiva com o NAT estático, e existe uma regra de conversão persistente, o NAT estático permite que os hosts na rede de destino iniciem o tráfego para um host convertido, se houver uma lista de acesso que permita isso.

    A principal diferença entre o NAT dinâmico e um intervalo de endereços para o NAT estático é que o NAT estático permite que um host remoto inicie uma conexão com um host traduzido, se houver uma lista de acesso que permita isso, enquanto o NAT dinâmico não. Você também precisa de um número igual de endereços mapeados como endereços reais com NAT estático.

    static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255
static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255
access-list outside extended permit tcp any host 192.168.1.10 eq http
access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-data
access-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status
access-list inbound extended permit udp any host 216.70.55.69 range 8766 30000
access-group outside in interface outside

    Estas são as duas instruções de NAT estático mostradas. O primeiro destina-se a converter o IP real 192.168.2.2 na interface interna para o IP mapeado 192.168.1.6 na sub-rede externa, desde que a ACL permita o tráfego da origem 192.168.1.30 para o IP mapeado 192.168.1.6 para acessar o servidor Websense na rede DMZ1. Da mesma forma, a segunda instrução de NAT estático significava converter o IP real 192.168.3.2 na interface interna para o IP mapeado 192.168.1.10 na sub-rede externa, desde que a ACL permita o tráfego da Internet para o IP mapeado 192.168.1.10 a fim de acessar o Servidor Web na rede DMZ2 e ter o número de porta udp no intervalo de 8766 a 30000.

  5. O comando url-server designa o servidor que executa o aplicativo de filtragem de URL Websense. O limite é de 16 servidores de URL em modo de contexto único e quatro servidores de URL em modo múltiplo, mas você pode usar apenas um aplicativo, N2H2 ou Websense, por vez. Além disso, se você alterar sua configuração no Security Appliance, isso não atualizará a configuração no servidor de aplicativos. Isso deve ser feito separadamente, de acordo com as instruções do fornecedor.

    O comando url-server deve ser configurado antes que você emita o comando filter para HTTPS e FTP. Se todos os servidores de URL forem removidos da lista de servidores, todos os comandos de filtragem relacionados à filtragem de URL também serão removidos.

    Depois de designar o servidor, ative o serviço de filtragem de URL com o comando filter url.

    url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5

    O comando filter url permite a prevenção de acesso de usuários de saída de URLs da World Wide Web que você designa com o aplicativo de filtragem Websense.

    filter url http 10.1.1.0 255.255.255.0 0 0
Configuração de FWSM 

!--- Output Suppressed

interface vlan 20
    nameif outside
    security-level 0
    ip address 192.168.1.2 255.255.255.0
interface vlan 10
    nameif inside
    security-level 100
    ip address 10.1.1.1 255.255.255.0
interface vlan 15
    nameif dmz1
    security-level 60
    ip address 192.168.2.1 255.255.255.224
interface vlan 25
    nameif dmz2
    security-level 50
    ip address 192.168.3.1 255.255.255.224
passwd fl0wer
enable password treeh0u$e
route outside 0 0 192.168.1.1 1
url-server (dmz1) vendor websense host 192.168.2.2 timeout 30 protocol TCP version 1 connections 5
url-cache dst 128
filter url http 10.1.1.0 255.255.255.0 0 0

!--- When inside users access an HTTP server, FWSM consults with a !--- Websense server in order to determine if the traffic is allowed.

nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 192.168.1.20-192.168.1.50 netmask 255.255.255.0

!--- Dynamic NAT for inside users that access the Internet

static (dmz1,outside) 192.168.1.6 192.168.2.2 netmask 255.255.255.255

!--- A host on the subnet 192.168.1.0/24 requires access to the Websense !--- server for management that use pcAnywhere, so the Websense server !--- uses a static translation for its private address.


static (dmz2,outside) 192.168.1.10 192.168.3.2 netmask 255.255.255.255

!--- A host on the Internet requires access to the Webserver, so the Webserver !--- uses a static translation for its private address.


access-list Internet extended deny ip any 192.168.2.0 255.255.255.0
access-list Internet extended permit ip any any
access-group Internet in interface inside

!--- Allows all inside hosts to access the outside for any IP traffic, !--- but denies them access to the dmz1



access-list outside extended permit tcp any host 192.168.1.10 eq http

!--- Allows the traffic from the internet with the destination IP address !--- 192.168.1.10 and destination port 80


access-list outside extended permit tcp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-data
access-list outside extended permit udp host 192.168.1.30 host 192.168.1.6 eq pcanywhere-status


!--- Allows the management host 192.168.1.30 to use !--- pcAnywhere on the Websense server


access-list inbound extended permit udp any host 216.70.55.69 range 8766 30000


!--- Allows udp port number in the range of 8766 to 30000.


access-group outside in interface outside


access-list WEBSENSE extended permit tcp host 192.168.2.2 any eq http
access-group WEBSENSE in interface dmz1

!--- The Websense server needs to access the Websense !--- updater server on the outside. !--- Output Suppressed

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use o OIT para visualizar uma análise da saída do comando show.

  1. Exiba as informações do módulo de acordo com o seu sistema operacional para verificar se o switch reconhece o FWSM e o colocou on-line:

    • Cisco IOS Software:

      Router#show module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1    2  Catalyst 6000 supervisor 2 (Active)    WS-X6K-SUP2-2GE    SAD0444099Y
  2   48  48 port 10/100 mb RJ-45 ethernet       WS-X6248-RJ-45     SAD03475619
  3    2  Intrusion Detection System             WS-X6381-IDS       SAD04250KV5
  4    6  Firewall Module                        WS-SVC-FWM-1       SAD062302U4

    • Software Catalyst OS:

      Console>show module [mod-num]
The following is sample output from the show module command:

Console> show module
Mod Slot Ports Module-Type               Model               Sub Status
--- ---- ----- ------------------------- ------------------- --- ------
1   1    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
15  1    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
4   4    2     Intrusion Detection Syste WS-X6381-IDS        no  ok
5   5    6     Firewall Module           WS-SVC-FWM-1        no  ok
6   6    8     1000BaseX Ethernet        WS-X6408-GBIC       no  ok

    Observação: o comando show module mostra seis portas para o FWSM. Essas são portas internas agrupadas como um EtherChannel.

  2. Router#show firewall vlan-group
Group vlans
----- ------
   1 10,15,20
   51 70-85
   52 100
  3. Router#show firewall module
Module Vlan-groups
  5    1,51
  8    1,52

  4. Insira o comando para o seu sistema operacional para exibir a partição de inicialização atual:

    • Cisco IOS Software:

      Router#show boot device [mod_num]

      Exemplo: 

      Router#show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:

    • Software Catalyst OS:

      Console> (enable) show boot device mod_num

      Exemplo: 

      Console> (enable) show boot device 6
Device BOOT variable = cf:5

Troubleshooting

Esta seção disponibiliza informações para a solução de problemas de configuração.

  1. Definindo a partição de inicialização padrão — Por padrão, o FWSM é inicializado a partir da partição de aplicativo cf:4. Mas, você pode escolher inicializar a partir da partição de aplicativo cf:5 ou na partição de manutenção cf:1. Para alterar a partição de inicialização padrão, insira o comando para seu sistema operacional:

    • Cisco IOS Software:

      Router(config)#boot device module mod_num cf:n

      Onde n é 1 (manutenção), 4 (aplicação) ou 5 (aplicação).

    • Software Catalyst OS:

      Console> (enable) set boot device cf:n mod_num

      Onde n é 1 (manutenção), 4 (aplicação) ou 5 (aplicação).

  2. Redefinindo o FWSM no Cisco IOS Software — Para redefinir o FWSM, insira o comando como mostrado:

    Router#hw-module module mod_num reset [cf:n] [mem-test-full]

    O argumento cf:n é a partição, seja 1 (manutenção), 4 (aplicativo) ou 5 (aplicativo). Se você não especificar a partição, a partição padrão será usada, que é tipicamente cf:4.

    A opção mem-test-full executa um teste de memória completo, que leva aproximadamente seis minutos.

    Exemplo: 

    Router#hw-mod module 9 reset
Proceed with reload of module? [confirm] y
% reset issued for module 9
Router#
00:26:55:%SNMP-5-MODULETRAP:Module 9 [Down] Trap
00:26:55:SP:The PC in slot 8 is shutting down. Please wait ...

    Para o software Catalyst OS:

    Console> (enable) reset mod_num [cf:n]

    Em que cf:n é a partição, ou 1 (manutenção), 4 (aplicação), ou 5 (aplicação). Se você não especificar a partição, a partição padrão será usada, que é tipicamente cf:4.

Observação: o NTP não pode ser configurado no FWSM, pois ele obtém suas configurações do Switch.

Problema: Não é possível passar o tráfego VLAN de FWSM para o Sensor IPS 4270

Você não pode passar o tráfego do FWSM para os sensores de IPS.

Solução

Para forçar o tráfego através do IPS, o truque é criar uma VLAN auxiliar para dividir efetivamente uma de suas VLANs atuais em duas e depois uni-las. Verifique este exemplo com VLAN 401 e 501 para esclarecer:

  • Se você quiser verificar o tráfego na VLAN 401 principal, crie outra vlan VLAN 501 (VLAN auxiliar). Em seguida, desabilite a interface VLAN 401, que os hosts em 401 usam atualmente como seu gateway padrão.

  • Em seguida, habilite a interface VLAN 501 com o mesmo endereço que você desabilitou anteriormente na interface VLAN 401.

  • Coloque uma das interfaces IPS na VLAN 401 e a outra na VLAN 501.

Basta mover o gateway padrão da VLAN 401 para a VLAN 501. Você precisa fazer alterações semelhantes para as VLANs, se presentes. Observe que as VLANs são essencialmente como segmentos de LAN. Você pode ter um gateway padrão em um fio diferente dos hosts que o utilizam.

Problemas de pacotes fora de ordem no FWSM

Como posso resolver o problema de pacotes com problemas no FWSM?

Solução

Execute o comando sysopt np completed-unit no modo de configuração global para resolver o problema de pacote Fora de Ordem no FWSM. Esse comando foi introduzido na versão 3.2(5) do FWSM e garante que os pacotes sejam encaminhados na mesma ordem em que foram recebidos.

Problema: Não é possível passar pacotes roteados assimetricamente pelo firewall

Você não pode passar pacotes roteados assimetricamente pelo firewall.

Solução

Execute o comando set connection advanced-options tcp-state-bypass no modo de configuração de classe para passar pacotes roteados assimetricamente pelo firewall. Esse comando foi introduzido na versão 3.2(1) do FWSM.

Suporte a Netflow no FWSM

O FWSM é compatível com o Netflow?

Solução

O Netflow não é suportado no FWSM.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
21-Aug-2007
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos