영역 기반 방화벽 문제 해결

다운로드 옵션

  • PDF     (276.5 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (78.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (62.1 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2009년 1월 23일
문서 ID:109479

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에는 영역 기반 방화벽에 대한 문제 해결 정보가 포함되어 있습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

VPN 트래픽을 전달할 수 없음

문제

문제는 VPN 트래픽이 영역 기반 방화벽을 통과할 수 없다는 것입니다.

솔루션

VPN 클라이언트 트래픽이 영역 기반 Cisco IOS® 방화벽에 의해 검사되도록 허용합니다.

예를 들어, 라우터 컨피그레이션에 추가할 행은 다음과 같습니다. 

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

GRE/PPTP를 전달할 수 없음

문제

문제는 GRE/PPTP 트래픽이 영역 기반 방화벽을 통과할 수 없다는 것입니다.

솔루션

영역 기반 Cisco IOS 방화벽에서 VPN 클라이언트 트래픽을 검사하도록 허용합니다.

예를 들어, 라우터 컨피그레이션에 추가할 행은 다음과 같습니다. 

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

컨피그레이션을 확인합니다.

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

네트워크 연결성

문제

Cisco IOS 라우터에 영역 기반 방화벽에 대한 정책이 적용되면 네트워크에 연결할 수 없습니다.

솔루션

이 문제는 비대칭 라우팅일 수 있습니다. Cisco IOS 방화벽은 비대칭 라우팅이 있는 환경에서는 작동하지 않습니다. 패킷은 동일한 라우터를 통해 반환되지 않습니다.

Cisco IOS 방화벽은 TCP/UDP 세션의 상태를 추적합니다. 상태 정보의 정확한 유지 관리를 위해 패킷은 동일한 라우터에서 출발하여 반환해야 합니다.

영역 기반 방화벽을 통해 DHCP 트래픽을 전달할 수 없음

문제

영역 기반 방화벽을 통해 DHCP 트래픽을 전달할 수 없습니다.

솔루션

이 문제를 해결하려면 자체 영역 트래픽 검사를 비활성화합니다.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
20-Jan-2009
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품