WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные матриалы
 

«Ответы на часто задаваемые вопросы о модуле служб брандмауэра Вопросы Введение На FWSM есть надпись — Не вытаскивайте плату, если горит зеленый светодиод, так как это может ...»

Ответы на часто задаваемые вопросы о модуле служб

брандмауэра

Вопросы

Введение

На FWSM есть надпись — "Не вытаскивайте плату, если горит зеленый светодиод, так как это может привести к

повреждению диска". Что это означает?

После использования команды show module, FWSM перешел в состояние "неисправен/другое". Какие действия

следует предпринять?

Где можно найти документацию по FWSM?

Какова минимальная версия программы, которая может поддерживать работу с FWSM, модулем 2 обнаружения вторжений в систему (IDSM2) и модулем служб VPN (VPNSM)?

Можно ли использовать в одной стойке FWSM, IDSM2 и VPNSM?

Какие настройки необходимо выполнить для FWSM?

Что такое SVI? Можно ли настроить несколько SVI?

Почему нельзя проверить соединение с FWSM на интерфейсе с прямым подключением?

Невозможно проверить соединение с FWSM на интерфейсе с прямым подключением и для этого интерфейса отсутствует запись в ARP-таблице. Коммутатор работает под управлением операционной системы CatOS. Какие действия следует предпринять?

Почему нельзя проверить соединение с FWSM или передать через него какие-либо данные?

Можно проверить соединение с интерфейсом FWSM, который напрямую подключен к сети, однако, нельзя проверить соединение с другими интерфейсами. Это нормальная ситуация?

Можно ли настроить восстановление после отказа между двумя FWSM, использующими различные версии программы?

Можно ли настроить восстановление после отказа между двумя FWSM в различных стойках?

Между двумя FWSM настроено восстановление после отказа, но они не синхронизируются. Что может быть причиной этому?

Где можно найти сведения о сообщениях об ошибках, относящихся к FWSM?

Где можно найти сведения о существующих дефектах для FWSM?

Какое количество VLAN может поддерживать FWSM?

Поддерживает ли FWSM команду access-list compiled?

Поддерживает ли FWSM выполнение команды auto-cost reference-bandwidth в IOS с помощью протокола OSPF?

Может ли использоваться протокол OSPF в топологии, когда два различных интерфейса FWSM подключены к одной и той же сети?

Какие протоколы маршрутизации поддерживаются FWSM?

Поддерживается ли многоадресность (протокол IGMPv2 и маршрутизация с мультивещанием) на FWSM?

Поддерживает ли FWSM фильтрацию URL-адресов?

Почему фрагментированные пакеты отклоняются FWSM?

Можно ли прерывать VPN-соединения на FWSM?

Поддерживается ли на FWSM аутентификация, авторизация и ведение учета (AAA) для RADIUS или TACACS+?

Как выполнить восстановление пароля для FWSM?

Поддерживает ли FWSM работу с джамбо пакетами?

Имеется лицензия для FWSM, функционирующего в режиме параллельных соединений. Можно ли получить лицензию для резервного FWSM в случае выхода из строя аппаратного обеспечения?

Как разместить дополнительные VLAN после FWSM?

Какое количество VLAN можно разместить после FWSM, использующего режим одиночной контекстной маршрутизации?

В чем разница между брандмауэром PIX и модулем служб брандмауэра?

На FWSM для каждого интерфейса невозможно выполнить команды множественного группового доступа. FWSM работает только с одной группой доступа для каждого интерфейса. Почему?

Поддерживается ли PVLAN на FWSM?

Поддерживаются ли номера строк списка доступа в FWSM?

Дополнительные сведения Введение В данном документе содержатся ответы на часто задаваемые вопросы о модуле служб брандмауэра Catalyst 6500 (FWSM).

Примечание: Дополнительные сведения об условных обозначениях см. в разделе Условные обозначения для практических рекомендаций компании Cisco.

Вопрос. На FWSM есть надпись — "Не вытаскивайте плату, если горит зеленый светодиод, так как это может привести к повреждению диска". Что это означает?

Ответ. Модуль брандмауэра должен быть снят только после отключения электропитания, используя один из следующих методов. Предпочтения для конкретного метода отсутствуют.

–  –  –

Модуль может быть извлечен, если зеленый светодиод состояния больше не горит.

Вопрос. После использования команды show module, FWSM перешел в состояние "неисправен/другое".

Какие действия следует предпринять?

Ответ. См. следующий список рекомендаций для устранения неполадок FWSM, связанных с переходом в состояние неисправен/другое.

Проверьте, что на коммутаторе используется поддерживаемая версия программы.

Проверьте, что FWSM совместим с другими панелями, расположенными в той же самой стойке. Дополнительные сведения см. в Замечания к версии Catalyst 6500 и (или) Software Advisor (только для зарегистрированных пользователей).

Если коммутатор работает под управлением программы CatOS/Hybrid, то необходимо сбросить настройки для разъема, занятого модулем FWSM. Для этого используйте следующие команды.

1. Введите set module power down mod для отключения электропитания FWSM.

2. Введите clear config mod для сброса параметров настройки коммутатора, связанного с этим разъемом, и включения электропитания модуля.

Для получения дополнительных сведений см. следующую документацию:

Контрольный список отказов оборудования для коммутаторов Catalyst серий 4500/4000, 5500/5000 и 6500/6000 под управлением CatOS.

Поиск неполадок оборудования и распространенные вопросы по коммутаторам Catalyst 6000, работающих под управлением операционной системы Cisco IOS Если проблемы не устранены, то необходимо обратиться в центр технической поддержки компании Cisco за дополнительной помощью.

Вопрос. Где можно найти документацию по FWSM?

Ответ. Замечания к версии для FWSM можно найти в документе Замечания к версии Catalyst 6500. На странице проведите поиск слова "брандмауэр". Документацию по настройке можно найти в разделе Документация по установке и настройке Catalyst 6500. На странице проведите поиск слова "брандмауэр".

Вопрос. Какова минимальная версия программы, которая может поддерживать работу с FWSM, модулем 2 обнаружения вторжений в систему (IDSM2) и модулем служб VPN (VPNSM)?

Вопрос. Пригодность версии программы зависит от типа модуля Supervisor в стойке 6500 или 7600, а также зависит от типа используемой операционной системы (CatOS [Hybrid] или Cisco IOS [Native]). См. нижеследующую таблицу для получения сведений о версиях программы и маршрутизаторах многоуровневой коммутации (MSFC).

–  –  –

* Планируется реализовать поддержку.

Примечание: Дополнительные сведения о различиях между операционными системами CatOS (Hybrid) и Cisco IOS (Native) см. в разделе Сравнение операционных систем Cisco Catalyst и Cisco IOS для коммутаторов серии Cisco Catalyst 6500.

Вопрос. Можно ли использовать в одной стойке FWSM, IDSM2 и VPNSM?

Ответ. Да, эти модули могут использоваться в одной и той же стойке, если коммутатор работает под управлением операционной системы Cisco IOS версии 12.2(14)SY (Sup2) или 12.2(17a)SX10 (Sup720). В настоящее время отсутствуют версии операционной системы CatOS, которые поддерживают эти модули служб в одной и той же стойке 6500 или 7600.

Вопрос. Какие настройки необходимо выполнить для FWSM?

Ответ. Параметрами настройки и управления являются следующие параметры:

–  –  –

* Эта программа является частью набора CiscoWorks VPN/Security Management Solution (VMS). Эта программа обеспечивает интегрированный подход к управлению безопасностью устройств Cisco через интерфейс обозревателя для сетей предприятия.

Вопрос. Что такое SVI? Можно ли настроить несколько SVI?

Ответ. SVI означает коммутируемый виртуальный интерфейс. Он представляет собой логический интерфейс третьего уровня на коммутаторе. Для CatOS версии ниже 7.6(1) и Cisco IOS версии ниже 12.2(14)SY разрешен только один коммутируемый виртуальный интерфейс в качестве компонента брандмауэра сетей VLAN. Другими словами, только один интерфейс третьего уровня может быть настроен между FWSM и MSFC. Попытка настроить несколько SVI приведет к отображению в интерфейсе командной строки сообщения об ошибке.

Для CatOS версий не ниже 7.6(1) и для Cisco IOS версий не ниже 12.2(14)SY, FWSM поддерживает несколько SVI. По умолчанию поддерживается только один коммутируемый виртуальный интерфейс (SVI). Использование одной из нижеследующих команд разрешает поддержку на коммутаторе нескольких SVI.

Для CatOS введите set firewall multiple-vlan-interfaces enable. Для Cisco IOS введите firewall multiple-vlan-interfaces.

Если коммутатор настраивается для нескольких FWSM VLAN и выдается сообщение об ошибке, указывающее на наличие более одного SVI, то необходимо проверить настройки коммутатора и (или) MSFC для того, чтобы убедиться в существовании только одного интерфейса третьего уровня (или интерфейса VLAN) в качестве части брандмауэра сетей VLAN.

Примечание: Используйте только один коммутируемый виртуальный интерфейс. Это позволяет избежать сложной настройки, включающей маршрутизацию на основе политик.

Вопрос. Почему нельзя проверить соединение с FWSM на интерфейсе с прямым подключением?

Ответ. По умолчанию на каждом интерфейсе запрещено использование ICMP-протокола. Чтобы разрешить отправку ICMP-пакетов на этот интерфейс, используйте команду icmp. Это поведение отличается от соответствующего поведения для PIX.

Примечание: Если отправка ICMP-пакетов на интерфейс запрещена с помощью команды icmp, то в ARP-таблице будут, по-прежнему, отображаться корректные MAC-адреса. Если MAC-адреса не отображаются, то перейдите к следующему вопросу.

Вопрос. Невозможно проверить соединение с FWSM на интерфейсе с прямым подключением и для этого интерфейса отсутствует запись в ARP-таблице. Коммутатор работает под управлением операционной системы CatOS. Какие действия следует предпринять?

Ответ. Настройка интерфейсов в рамках конфигурации FWSM (с помощью команды nameif) или на MSFC [ с помощью команды interface vlan] перед их настройкой на коммутаторе (в модуле Supervisor для CatOS) может привести к прекращению функционирования интерфейсов с отсутствием ARP-записи и отклика на ICMP-пакеты.

При настройке интерфейса на FWSM или MSFC, принадлежащих к брандмауэру сетей VLAN, перед настройкой коммутатора необходимо удалить запись для FWSM или MSFC, перезагрузить модуль, а затем повторно добавить запись.

Вопрос. Почему нельзя проверить соединение с FWSM или передать через него какие-либо данные?

Ответ. Трансляции сетевых адресов должна быть настроена с помощью команд nat 0, nat/global илиstatic для трафика проходящего через FWSM и поступающего от высокозащищенного интерфейса (внутренний интерфейс) к низкозащищенному интерфейсу (внешний интерфейс).

Необходимо также использовать команду access-list для реализации списков управления доступом, которые разрешают прохождение трафика через FWSM. По умолчанию списки управления доступом запрещают весь трафик на все интерфейсы (deny ip any any). Это поведение отличается от конфигурации по умолчанию для PIX, который разрешает трафик по направлению от высокозащищенного к низкозащищенному интерфейсу и запрещает трафик по направлению от низкозащищенного к высокозащищенному интерфейсу. Настройте список управления доступом с помощью команды permit ip any any и примените его к высокозащищенному интерфейсу, чтобы сделать поведение FWSM аналогичным поведению PIX.

Вопрос. Можно проверить соединение с интерфейсом FWSM, который напрямую подключен к сети, однако, нельзя проверить соединение с другими интерфейсами. Это нормальная ситуация?

Ответ. Да. Это встроенный механизм защиты, который также существует в брандмауэре PIX.

Вопрос. Можно ли настроить восстановление после отказа между двумя FWSM, использующими различные версии программы?

Ответ. Нет. Восстановление после отказа требует, чтобы оба FWSM работали с одной и той же версией программы. Во время восстановления после отказа проверяется версия программ узлов и если версии различаются, то восстановление невозможно. По этой причине необходимо обновить оба FWSM в одно и тоже время.

Вопрос. Можно ли настроить восстановление после отказа между двумя FWSM в различных стойках?

Ответ. Да. Однако, FWSM должны быть соединены с помощью средств второго уровня на всех интерфейсах. Другими словами, все интерфейсы должны иметь возможность обмениваться между собой широковещательными пакетами второго уровня [ARP и т.д.]. Пакеты протокола восстановления после отказа не могут маршрутизироваться на третьем уровне.

Вопрос. Между двумя FWSM настроено восстановление после отказа, но они не синхронизируются. Что может быть причиной этому?

Ответ.

Прежде чем использовать эту конфигурацию, убедитесь, что она отвечает требованиям для восстановления после отказа:

Оба FWSM должны работать с одной и той же версией программы.

Оба FWSM должны иметь одной и то же число VLAN.

На FWSM должно существовать соединение второго уровня между всеми VLAN. Если FWSM расположены в различных стойках и имеется магистраль, настроенная между ними, то необходимо проверить, что существуют все VLAN и они разрешены в магистрали. Для получения дополнительных сведений о настройке магистрали и устранении ее неполадок, обратитесь к нижеследующим документам.

Пример настройки — 802.1q организация магистральной сети между коммутаторами Catalyst под управлением CatOS и интегрированной Cisco IOS (режим Native) Настройка ISL-магистрали для семейства коммутаторов Catalyst 5000 и 6000

Вопрос. Где можно найти сведения о сообщениях об ошибках, относящихся к FWSM?

Ответ. Средство декодирования сообщений об ошибках (только для зарегистрированных пользователей) предоставляет подробные сведения о сообщениях об ошибках для FWSM. Документация по системным сообщениям также содержит полезные сведения. Если необходима дальнейшая помощь, то следует обратиться в центр технической поддержки Cisco.

Вопрос. Где можно найти сведения о существующих дефектах для FWSM?

Ответ. Подробнее о существующих ошибках см. в Bug Toolkit (только для зарегистрированных пользователей).

Вопрос. Какое количество VLAN может поддерживать FWSM?

Ответ. FWSM версии 1.1 поддерживает 100 VLAN, а FWSM версии 2.1 поддерживает 250 VLAN.

Вопрос. Поддерживает ли FWSM команду access-list compiled?

Ответ. Так как FWSM автоматически транслирует списки управления доступом в аппаратное обеспечение после 10 секунд бездействия в интерфейсе командной строки, то необходимость в скоростных списках управления доступом отсутствует.

FWSM версии 2.1 обеспечивает дополнительную функциональность назначения при трансляции списков управления доступом.

Вопрос. Поддерживает ли FWSM выполнение команды auto-cost reference-bandwidth в IOS с помощью протокола OSPF?

Ответ. Нет. FWSM не знает о подключенных к нему физических портах. Стоимость OSPF должна настраиваться вручную для каждого интерфейса с помощью команды ospf cost.

Вопрос. Может ли использоваться протокол OSPF в топологии, когда два различных интерфейса FWSM подключены к одной и той же сети?

Ответ. Да. Эта возможность доступна в версии 2.1 и более поздних.

Вопрос. Какие протоколы маршрутизации поддерживаются FWSM?

Ответ. Поддерживаются протокол маршрутной информации (RIP) и протокол первоочередного открытия кратчайших маршрутов (OSPF). Для получения дополнительных сведений проведите поиск по ключевому слову "брандмауэр" в документах под названием Замечания к версии Catalyst 6500 и Документация по установке и настройке Catalyst 6500.

Вопрос. Поддерживается ли многоадресность (протокол IGMPv2 и маршрутизация с мультивещанием) на FWSM?

Ответ. Да. Эта возможность доступна в FWSM версии 2.1 и более поздних. Если используется версия 1.1, то в качестве временной меры можно использовать GRE-туннелирование.

Вопрос. Поддерживает ли FWSM фильтрацию URL-адресов?

Ответ. Да. Функция Websense поддерживается начиная с версии 1.1, а в версии 2.1 добавлена дополнительная поддержка для N2H2.

Вопрос. Почему фрагментированные пакеты отклоняются FWSM?

Ответ. По умолчанию фрагментированные пакеты не могут передаваться на FWSM. Для настройки этой функции можно использовать команду fragment. Это поведение отличается от соответствующего поведения для брандмауэра PIX.

Протоколами, использующими фрагментированные пакеты, являются OSPF-протокол и NFS-протокол.

Вопрос. Можно ли прерывать VPN-соединения на FWSM?

Ответ. Функциональность VPN не поддерживается на FWSM. За прерывание VPN-соединений отвечают коммутатор и (или) модуль служб VPN. Лицензия 3DES предоставляется только для целей управления, например, для подключения к низкозащищенному интерфейсу через Telnet, Secure Shell (SSH) и Secure HTTP (HTTPS).

Вопрос. Поддерживается ли на FWSM аутентификация, авторизация и ведение учета (AAA) для RADIUS или TACACS+?

Ответ. AAA поддерживается как для управления FWSM, так и для прохождения трафика через FWSM. Дополнительные сведения см. в документе под названием Документация по модулю служб брандмауэра.

FWSM обеспечивает функциональность сходную с функциональностью брандмауэра PIX, кроме загружаемых списков управления доступом и VPN. Помня об этом, можно использовать документацию по брандмауэру PIX в качестве руководства для настройки FWSM.

Как провести аутентификацию и включение на межсетевом экране Cisco Secure PIX (версии с 5.2 до 6.2) Аутентификация, авторизация и учет пользователей с помощью PIX версии 5.2 и более поздних версий Вопрос. Как выполнить восстановление пароля для FWSM?

Ответ. Дополнительные сведения о восстановлении паролей см. в следующих документах:

Для версии 1.1(1) см. примечание по настройке 1.1(1) в документе под названием Изменение и восстановление паролей Для версий 1.1(2) и 1.1(3) см. примечание по настройке 1.1(2) в документе под названием Изменение и восстановление паролей Вопрос. Поддерживает ли FWSM работу с джамбо-пакетами?

Ответ. Да. FWSM поддерживает работу с джамбо пакетами.

Вопрос. Имеется лицензия для FWSM, функционирующего в режиме параллельных соединений. Можно ли получить лицензию для резервного FWSM в случае выхода из строя аппаратного обеспечения?

Ответ. Лицензия для резервного FWSM может быть получена. Однако, необходимо в установленном порядке заказать лицензию для резервного FWSM. В случае выхода из строя аппаратного обеспечения, обратитесь в центр технической поддержки Cisco для устранения неполадок и получения лицензии для запасного FWSM. Для получения сведений о лицензировании см. документ под названием Программа модуля брандмауэра Cisco версии 2.2(1).

Вопрос. Как разместить дополнительные VLAN после FWSM?

Ответ. Используйте команду nameif, если необходимо добавить в конфигурацию vlan 200. Уровень безопасности должен находиться между 0 и 100. Полный синтаксис команды — nameif vlan200 interface name security level.

Вопрос. Какое количество VLAN можно разместить после FWSM, использующего режим одиночной контекстной маршрутизации?

Ответ. Можно разместить 1000 VLAN после FWSM, использующего режим одиночной контекстной маршрутизации.

Вопрос. В чем разница между брандмауэром PIX и модулем служб брандмауэра?

Ответ. PIX и FWSM основаны на одной и той же программе. Однако, существует два фундаментальных отличия. PIX поддерживает функциональность VPN и IDS. FWSM не поддерживает функциональность VPN и IDS, так как эти функции реализованы в других линейных платах. Дополнительные сведения о модуле служб IDSM-2 для Catalyst 6500 см. в документе под названием Модуль служб IDSM-2 для Catalyst 6500. Дополнительные сведения о модуле служб IPsec VPN для Catalyst 6500 см. в документе под названием Модуль служб IPsec VPN для Catalyst 6500.

В следующей документации приводятся сведения о незначительных различиях между PIX и FWSM:

–  –  –

Вопрос. На FWSM для каждого интерфейса невозможно выполнить команды множественного группового доступа. FWSM работает только с одной группой доступа для каждого интерфейса. Почему?

Ответ. При выполнении этих команд в FWSM, отображается только последняя команда access-group:

access-group allow_icmp in interface outside access-group allow_caltech in interface outside Это происходит только из-за того, что FWSM допускает только один список доступа для каждого интерфейса на одно направление.

Вопрос. Поддерживается ли PVLAN на FWSM?

Ответ. Поддержка PVLAN начата в программе начиная с версии 3.1. Если версия программы ниже 3.1, то возможным единственным решением является подключение разнородного порта PVLAN с помощью кросс-кабеля к обычному порту доступа с последующей брандмауэрной защитой VLAN этого порта доступа.

Вопрос. Поддерживаются ли номера строк списка доступа в FWSM?

Ответ. В настоящее время эта функция не поддерживается в программе версий 2.х.

Дополнительные сведения Документация по модулю служб брандмауэра Страница поддержки модулей служб брандмауэра Техническая поддержка и документация — Cisco Systems © 1992-2014 Cisco Systems, Inc. Все права защищены.

Дата генерации PDF файла: 23 марта 2008

Похожие работы:

«Робин Нокс-Джонстон Под парусом в одиночку вокруг света. Первое одиночное, безостановочное, кругосветное плавание на парусной яхте Издательский текст http://www.litres.ru/pages/biblio_book/?art=2453795 Под парусом в одиночку вокруг света. Первое одиночное, безостан...»

«ЗАДАЧА К ПРАКТИКУМУ ДЛЯ СТУДЕНТОВ 4 КУРСА "СИНТЕЗ СОПОЛИМЕРА N-ВИНИЛКАПРОЛАКТАМА И АКРИЛОВОЙ КИСЛОТЫ" ТЕОРЕТИЧЕСКАЯ ЧАСТЬ СОПОЛИМЕРЫ высокомолекулярные соединения, макромолекулы которых содержат мономерные звенья разных типов. В зависимости от...»

«Руководство пользователя Цифровой музыкальный плеер TS8GMP330W/K/P Содержание Введение Комплектация Основные характеристики Системные требования Меры предосторожности Использование уст...»

«Интерпретация строения молекул на основе орбитальных моделей и исследования распределения электронной плотности. Локализованные молекулярные орбитали. Гибридизация. Электронная корреляция в атомах и моле...»

«Утверждено постановлением Президиума Арбитражного Суда Республики Марий Эл № 30/13 от "5" февраля 2013 года ОБОБЩЕНИЕ СУДЕБНОЙ ПРАКТИКИ ПО ВОПРОСАМ СОЕДИНЕНИЯ ДЕЛ И РАЗЪЕДИНЕНИЯ НЕСКОЛЬКИХ ТРЕБОВАНИЙ В ОТДЕЛЬНОЕ ПРОИЗВОДСТВО Содержание 1. Общие поло...»

«Автоматизированная копия 586_368701 ВЫСШИЙ АРБИТРАЖНЫЙ СУД РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации № 745/12 Москва 26 июня 2012 г. Президиум Высшего Арбитражного Суда Российской Федерации в составе: председательствующего – Председателя Высшего Арбитражн...»

«РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ АВТОМОБИЛЬНЫЙ ВИДЕОРЕГИСТРАТОР MDR-985HDG Встроенный GPS информатор GPS база полицейских радаров, безрадарных комплексов видеофиксации и постов ДПС России и СНГ Отображение расстояния до объекта оповещения Возможность записи в базу и удаления пользовательских GPS точек •...»

«И. А. ПИЛЬЩИКОВ Что такое цевница? (на материале русской поэзии XVIII–XIX вв.) СУДЬБА СЛОВ в поэтическом языке нередко отличается от их судьбы в языке общенациональном. В частности, поэтический язык может со здавать условия для сохранения у того или иного слова многозначно сти, которая в общелитературном языке утрачивае...»

«МАТЕРИАЛЫ ЗАДАНИЙ олимпиады школьников "ЛОМОНОСОВ" по русскому языку 2015/2016 учебный год http://olymp.msu.ru Олимпиада для школьников "Ломоносов" по русскому языку, заключительный этап, 10–11 классы Вариант 1 Задание 1 Лингвисты установили, что в древнерусском языке место ударения в словах и их формах определялось стр...»









 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.