基于区域的防火墙故障排除
目录
简介
本文档包含有关区域防火墙的故障排除信息。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
无法传递VPN流量
问题
问题是VPN流量无法通过基于区域的防火墙。
解决方案
允许基于区域的Cisco IOS®防火墙检查VPN客户端流量。
例如,以下是在路由器配置中添加的行:
access-list 103 permit ip 172.16.1.0 0.0.0.255 172.22.10.0 0.0.0.255 class-map type inspect match-all sdm-cls-VPNOutsideToInside-1 match access-group 103 policy-map type inspect sdm-inspect-all class type inspect sdm-cls-VPNOutsideToInside-1 inspect zone-pair security sdm-zp-out-in source out-zone destination in-zone service-policy type inspect sdm-inspect-all
无法传递GRE/PPTP
问题
问题是GRE/PPTP流量无法通过基于区域的防火墙。
解决方案
允许基于区域的Cisco IOS防火墙检查VPN客户端流量。
例如,以下是在路由器配置中添加的行:
agw-7206>enable gw-7206#conf t gw-7206(config)#policy-map type inspect outside-to-inside gw-7206(config-pmap)#no class type inspect outside-to-inside gw-7206(config-pmap)#no class class-default gw-7206(config-pmap)#class type inspect outside-to-inside gw-7206(config-pmap-c)#inspect %No specific protocol configured in class outside-to-inside for inspection. All protocols will be inspected gw-7206(config-pmap-c)#class class-default gw-7206(config-pmap-c)#drop gw-7206(config-pmap-c)#exit gw-7206(config-pmap)#exit
检查配置:
gw-7206#show run policy-map outside-to-inside policy-map type inspect outside-to-inside class type inspect PPTP-Pass-Through-Traffic pass class type inspect outside-to-inside inspect class class-default drop
网络可达性
问题
将基于区域的防火墙策略应用到Cisco IOS路由器后,网络将无法访问。
解决方案
此问题可能是非对称路由。Cisco IOS防火墙不适用于非对称路由环境。不能保证数据包通过同一台路由器返回。
Cisco IOS防火墙跟踪TCP/UDP会话的状态。数据包必须离开和从同一台路由器返回才能准确维护状态信息。
无法通过基于区域的防火墙传递DHCP流量
问题
您无法通过基于区域的防火墙传输DHCP流量。
解决方案
禁用自身区域流量检查以解决此问题。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
20-Jan-2009 |
初始版本 |
反馈