أستكشاف أخطاء جدار الحماية وإصلاحها المستند إلى المنطقة

المقدمة

يحتوي هذا المستند على معلومات أستكشاف الأخطاء وإصلاحها لجدار الحماية المستند إلى المنطقة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• إستخدام شبكة VPN مع جدار حماية السياسات المستند إلى المنطقة

• دليل تصميم وتطبيق جدار الحماية القائم على المناطق

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

يتعذر تمرير حركة مرور VPN

المشكلة

الإصدار هو أن حركة مرور VPN غير قادرة على المرور عبر جدار الحماية المستند إلى المنطقة.

الحل

السماح بفحص حركة مرور عميل شبكة VPN بواسطة جدار حماية Cisco IOS^® المستند إلى المنطقة.

على سبيل المثال، فيما يلي البنود التي تريد إضافتها على تكوين الموجه:

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

يتعذر تمرير GRE/PPTP

المشكلة

المشكلة هي أن حركة مرور GRE/PPTP لا يمكن أن تمر من خلال جدار الحماية المستند إلى المنطقة.

الحل

السماح بفحص حركة مرور عميل شبكة VPN بواسطة جدار حماية Cisco IOS المستند إلى المنطقة.

على سبيل المثال، فيما يلي البنود التي تريد إضافتها على تكوين الموجه:

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

فحصت التشكيل :

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

إمكانية الوصول إلى الشبكة

المشكلة

بعد تطبيق نهج جدار الحماية المستند إلى المنطقة في موجه Cisco IOS، لا يمكن الوصول إلى الشبكات.

الحل

هذه المشكلة قد يكون التوجيه غير المتماثل. لا يعمل جدار حماية Cisco IOS في البيئات ذات التوجيه غير المتماثل. لا يتم ضمان إرجاع الحزم من خلال الموجه نفسه.

يتتبع جدار حماية Cisco IOS حالة جلسات عمل TCP/UDP. يجب أن تغادر الحزمة وترجع من الموجه نفسه لإجراء صيانة دقيقة لمعلومات الحالة.

يتعذر تمرير حركة مرور DHCP من خلال جدار حماية مستند إلى منطقة

المشكلة

أنت يعجز أن يمر DHCP حركة مرور من خلال منطقة baser جدار حماية.

الحل

قم بتعطيل فحص حركة مرور المنطقة الذاتية لحل هذه المشكلة.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems
• AnyConnect على IOS باستخدام جدار الحماية المستند إلى المناطق (ZBFW)