本文包含基于区域的防火墙的故障排除信息。
Cisco 建议您了解以下主题:
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
问题是VPN流量无法在基于区域的防火墙间通过。
允许基于区域的Cisco IOS防火墙将检查的VPN客户端流量。
例如,这是在路由器配置的线路添加:
access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255 class-map type inspect match-all sdm-cls-VPNOutsideToInside-1 match access-group 103 policy-map type inspect sdm-inspect-all class type inspect sdm-cls-VPNOutsideToInside-1 inspect zone-pair security sdm-zp-out-in source out-zone destination in-zone service-policy type inspect sdm-inspect-all
问题是GRE/PPTP流量无法穿过基于区域的防火墙。
允许基于区域的Cisco IOS防火墙将检查的VPN客户端流量。
例如,这是在路由器配置的线路添加:
agw-7206>enablegw-7206#conf tgw-7206(config)#policy-map type inspect outside-to-insidegw-7206(config-pmap)#no class type inspect outside-to-insidegw-7206(config-pmap)#no class class-defaultgw-7206(config-pmap)#class type inspect outside-to-insidegw-7206(config-pmap-c)#inspect%No specific protocol configured in class outside-to-inside for inspection.All protocols will be inspectedgw-7206(config-pmap-c)#class class-defaultgw-7206(config-pmap-c)#dropgw-7206(config-pmap-c)#exitgw-7206(config-pmap)#exit
检查配置:
gw-7206#show run policy-map outside-to-insidepolicy-map type inspect outside-to-inside class type inspect PPTP-Pass-Through-Traffic pass class type inspect outside-to-inside inspect class class-default drop
在基于区域的防火墙的策略在Cisco IOS路由器后应用,网络不可及的。
此问题也许是不对称路由。Cisco IOS防火墙在与不对称路由的环境不工作。数据包没有保证通过同一路由器返回。
Cisco IOS防火墙跟踪TCP/UDP会话的状态。数据包必须从状态信息准确维护的同一路由器离去和返回。
您无法通过DHCP流量一基于区域的防火墙。
禁用自身区域流量检查为了解决此问题。