Zone-gebaseerde probleemoplossing voor firewalls

Downloadopties

  • PDF     (251.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (67.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 januari 2009
Document-id:109479

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat informatie over probleemoplossing voor een op een zone gebaseerde firewall.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Kan VPN-verkeer niet doorgeven

Probleem

Het probleem is dat VPN-verkeer niet door een zone-gebaseerde firewall kan gaan.

Oplossing

Sta toe dat het VPN-clientverkeer wordt geïnspecteerd door de op de zone gebaseerde Cisco IOS® firewall.

Hier zijn bijvoorbeeld de lijnen die op de configuratie van de router moeten worden toegevoegd: 

access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255
 
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
  match access-group 103
 
policy-map type inspect sdm-inspect-all
  class type inspect sdm-cls-VPNOutsideToInside-1
   inspect
 
zone-pair security sdm-zp-out-in source out-zone destination in-zone
  service-policy type inspect sdm-inspect-all

Kan geen GRE/PPTP doorgeven

Probleem

Het probleem is dat het GRE/PPTP-verkeer niet door de op een zone gebaseerde firewall kan gaan.

Oplossing

Sta toe dat het VPN-clientverkeer wordt geïnspecteerd door de op de zone gebaseerde Cisco IOS-firewall.

Hier zijn bijvoorbeeld de lijnen die op de configuratie van de router moeten worden toegevoegd: 

agw-7206>enable

gw-7206#conf t
gw-7206(config)#policy-map type inspect outside-to-inside
gw-7206(config-pmap)#no class type inspect outside-to-inside
gw-7206(config-pmap)#no class class-default
gw-7206(config-pmap)#class type inspect outside-to-inside
gw-7206(config-pmap-c)#inspect
%No specific protocol configured in class outside-to-inside for inspection.
All protocols will be inspected
gw-7206(config-pmap-c)#class class-default
gw-7206(config-pmap-c)#drop
gw-7206(config-pmap-c)#exit
gw-7206(config-pmap)#exit

Controleer de configuratie :

gw-7206#show run policy-map outside-to-inside
policy-map type inspect outside-to-inside
 class type inspect PPTP-Pass-Through-Traffic
  pass
 class type inspect outside-to-inside
  inspect
 class class-default
  drop

Netwerkbereikbaarheid

Probleem

Nadat het beleid voor op zone gebaseerde firewall in de Cisco IOS-router is toegepast, zijn de netwerken niet bereikbaar.

Oplossing

Dit probleem zou de asymmetrische routing kunnen zijn. Cisco IOS-firewall werkt niet in omgevingen met asymmetrische routing. Er wordt niet gegarandeerd dat pakketten via dezelfde router terugkeren.

Cisco IOS-firewall volgt de status van TCP/UDP-sessies. Een pakket moet van de zelfde router vertrekken en terugkeren voor nauwkeurig onderhoud van staatsinformatie.

Kan DHCP-verkeer niet doorlaten via een op zone gebaseerde firewall

Probleem

U kunt DHCP-verkeer niet door een op een zone gebaseerde firewall laten lopen.

Oplossing

Schakel de zelfzone-verkeersinspectie uit om dit probleem op te lossen.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
20-Jan-2009
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten