Troubleshooting Zona-baseado do Firewall
Índice
Introdução
Este documento contém a informação de Troubleshooting para o Firewall zona-baseado.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Incapaz de passar o tráfego VPN
Problema
A edição é que o tráfego VPN é incapaz de passar através do Firewall zona-baseado.
Solução
Permita que o tráfego do cliente VPN seja inspecionado pelo Firewall zona-baseado do ® do Cisco IOS.
Por exemplo, estão aqui as linhas a adicionar na configuração do roteador:
access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255 class-map type inspect match-all sdm-cls-VPNOutsideToInside-1 match access-group 103 policy-map type inspect sdm-inspect-all class type inspect sdm-cls-VPNOutsideToInside-1 inspect zone-pair security sdm-zp-out-in source out-zone destination in-zone service-policy type inspect sdm-inspect-all
Incapaz de passar GRE/PPTP
Problema
A edição é que o tráfego GRE/PPTP é incapaz de passar com o Firewall zona-baseado.
Solução
Permita que o tráfego do cliente VPN seja inspecionado pelo Cisco IOS Firewall zona-baseado.
Por exemplo, estão aqui as linhas a adicionar na configuração do roteador:
agw-7206>enablegw-7206#conf tgw-7206(config)#policy-map type inspect outside-to-insidegw-7206(config-pmap)#no class type inspect outside-to-insidegw-7206(config-pmap)#no class class-defaultgw-7206(config-pmap)#class type inspect outside-to-insidegw-7206(config-pmap-c)#inspect%No specific protocol configured in class outside-to-inside for inspection.All protocols will be inspectedgw-7206(config-pmap-c)#class class-defaultgw-7206(config-pmap-c)#dropgw-7206(config-pmap-c)#exitgw-7206(config-pmap)#exit
Verifique a configuração:
gw-7206#show run policy-map outside-to-insidepolicy-map type inspect outside-to-inside class type inspect PPTP-Pass-Through-Traffic pass class type inspect outside-to-inside inspect class class-default drop
Alcançabilidade de rede
Problema
Depois que a política para o Firewall zona-baseado é aplicada no roteador do Cisco IOS, as redes não são alcançáveis.
Solução
Este problema pôde ser o roteamento assimétrico. O Cisco IOS Firewall não trabalha nos ambientes com roteamento assimétrico. Os pacotes não são garantidos para retornar através do mesmo roteador.
O Cisco IOS Firewall segue o estado de sessões TCP/UDP. Um pacote deve partir e retornar do mesmo roteador para a manutenção exata da informação de estado.
Incapaz de passar o tráfego DHCP com um Firewall Zona-baseado
Problema
Você é incapaz de passar o tráfego DHCP com um Firewall zona-baseado.
Solução
Desabilite a inspeção do tráfego da auto-zona a fim resolver esta edição.
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)