IOS: La zona basó la Interoperabilidad del Firewall con el despliegue WAAS

Documentos relacionados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Bridging L2 a través de un ejemplo de la configuración de red L3

CWS en el tráfico ASA a los servidores internos bloqueados

Uso de números de puerto FTP no estándares con NAT

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

ASA 8.3 y posterior: Examen global predeterminado de la neutralización y Inspección de la aplicación no valor por defecto del permiso usando el ASDM

Autenticación de servidor alterno de autenticación saliente - Ningún Firewall Cisco IOS o configuración del NAT

Balanceo de carga IOS NAT para dos Conexiones ISP

Transferencia de archivos ASA con el ejemplo de configuración FXP

QoS de voz: Marcación de paquetes ToS-CoS para usar con LLQ

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

Ejemplo de configuración concentrador VPN 3000 de la administración del ancho de banda

Ejemplo de configuración ISDN - IP

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

Ejemplo de configuración para QoS en los servidores del fax basados en Windows

Configuración del gateway dial peer de H.323 para la Redundancia del Cisco Callmanager server

Papel de la autenticación CHAP configurado bajo interfaz celular

Ejemplo de la configuración de QoS de los 6000 Series Switch del nexo

Implementación de la mejora de las características ASA SNMP

Balanceo de carga IOS NAT con el Edge Routing optimizado para dos conexiones de Internet

ASA 8.3 y posterior: El permiso FTP/TFTP mantiene el ejemplo de configuración

Cisco recomienda que usted tiene experiencia con la configuración del Cisco Identity Services Engine (ISE) y el conocimiento básico de estos temas:

Configure la característica de la preferencia local del IPv6 BGP

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Packet Tracer: Configuración de GRE por IPsec (optativo)

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Configurar un ADSL WIC del Cisco 1700/2600/3600 (interfaz sin numerar) con el RFC1483 que rutea usando el protocol ip del AAL5SNAP

Configuración OSPF para filtrar los LSA tipos 5

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

El configurar autenticación de RADIUS a través del motor caché de Cisco

Agujero negro accionado telecontrol del IPV6 de la configuración con el IPv6 BGP

WCCP en el ASA: Conceptos, limitaciones, y configuración

Del nexo del 5000 Series Switch ejemplo de configuración ERSPAN

Configuración de Network Address Translation: Introducción

ASDM 6.3 y posterior: Ejemplo de configuración del examen de las opciones IP

Configuración dinámica de las opciones del servidor DHCP

Configuración de WPA/WPA2 con la clave previamente compartida: IOS 15.2JB y posterior

Configure una máquina virtual en un servidor de la cuchilla UCS como destino del SPAN

Configure un servidor público con el ASDM de Cisco

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Ejemplo de configuración de la característica de puente del estado ASA 8.2.X TCP

Ejemplo de la configuración de módulos del shell CLI del Cisco IOS

Ejemplo de Configuración de Transcodificación y Conferencias Mejoradas para Gateways de Voz de IOS en una Red CallManager mediante Recursos DSP

Del nexo del 7000 Series Switch ejemplo de configuración ERSPAN

DNS Doctoring en el ejemplo de configuración ASA

Característica del circuito de demanda OSPF

Configuración básica de MPLS usando OSPF

Configuración de Network Address Translation: Getting Started

Procedimiento de recuperación de ROMmon para Cisco IR800 ISR industrial

Equilibrio de carga remoto del cliente VPN en el ejemplo de configuración ASA 5500

Quienes lean este documento deben tener conocimiento de los siguientes temas:

Bloquee una o más redes de un peer BGP

Configuraciones ML-MR-10 para pasar los paquetes LACP de los paquetes CDP transparente

Redistribuya las redes conectadas en el OSPF con la palabra clave de subred

Diseño del Firewall de la directiva y guía Zonabasados de la aplicación

Listas de control de acceso y fragmentos IP

Ejemplo de la configuración HSRP del IPv6

Cómo utilizar los comandos standby preempt y standby track

Características de contabilidad de la interfaz de salida de las estadísticas de la política de BGP y de las estadísticas de la política de BGP

Configuración que redistribuye las rutas del Internal BGP en el IGP

IPS 5.x y posterior: NTP en el ejemplo de configuración IPS

Quienes lean este documento deben tener conocimiento de los siguientes temas:

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Antecedentes La sucursal remota o la empresa minorista tamaño pequeño puede consistir en un solo o un stack

Comprensión de la dirección local del link del IPv6

Class-Based Weighted Fair Queuing por VC (por VC CBWFQ) en los routers Cisco 7200, 3600, y 2600

El moh del CallManager utiliza el codificadordecodificador. llamadas de voz utilizan el ejemplo de la configuración de códec de G.

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Ejemplo de configuración local de la autenticación Web del portal del invitado del Identity Services Engine

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

Ejemplo de configuración de la voz digital de las 4000 Series del Routers de los Servicios integrados

Cisco recomienda que usted tiene un conocimiento sobre el funcionamiento de estos temas:

Quienes lean este documento deben tener conocimiento de los siguientes temas:

IP de uso general ACL de la configuración

Conexión LAN de los elementos básicos de red inalámbrica con el ejemplo de la Configuración de punto de acceso

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Proxy WebRTC de la configuración con CMS sobre Expressway con el dominio dual

Configuración y verificación de las ACL estándar

Configuración simultánea de NAT estático y dinámico

Configuración de muestra usando el comando ip nat outside source list

Instale y configure el comunicador IP con el CallManager

Criterios para la denominación de agrupamientos de PPP de links múltiples

Servidor DNS de Microsoft Windows 2003 para el ejemplo de configuración de la detección del regulador del Wireless LAN (WLC)

Este documento describe cómo configurar la característica de Wireshark para los Cisco Catalyst 4500 Series Switch.

Cómo los Routers BGP Utilizan el Discriminador de Salida Múltiple para la Selección de la Mejor Trayectoria

Este documento proporciona un ejemplo de configuración para X25 Sobre TCP.

Conexión LAN de los elementos básicos de red inalámbrica con el ejemplo de la Configuración de punto de acceso

Configure el 2.1 ISE y el control de la postura USB de AnyConnect 4.3

Utilización de NAT en Redes Superpuestas

Ejemplo de Configuración de BGP con Dos Proveedores de Servicio Diferentes (Multihoming)

Class-Based Weighted Fair Queuing por VC (por VC CBWFQ) en los routers Cisco 7200, 3600, y 2600

Configuración de Gateway de último recurso mediante comandos IP

Configuración de PIX Firewall con Acceso al servidor de correo en una red externa.

Práctica de laboratorio: Diseño e implementación de un esquema de direccionamiento IPv4 dividido en subredes

Orden de Operación de Calidad de Servicio

Transcripción:

IOS: La zona basó la Interoperabilidad del Firewall con el despliegue WAAS Contenido prerrequisitos Requisitos Componentes Utilizados Soporte WAAS con el Firewall Cisco IOS Despliegue de la bifurcación WAAS con un dispositivo de la Apagado-trayectoria Ejemplo de diagrama de red Configuración y flujo de paquetes Información de la sesión ZBF Configuración en funcionamiento del router del lado del cliente (r1) con WAAS y ZBF habilitados. Despliegue de la bifurcación WAAS con un dispositivo en línea Detalles Configuración Restricciones para la Interoperabilidad ZBF con WAAS Información Relacionada Discusiones relacionadas de la comunidad del soporte de Cisco El Software Release 12.4(6)T de Cisco IOS introducido Zona-basó el Firewall de la directiva (ZBPFW), un nuevo modelo de la configuración para el conjunto de funciones del Cisco IOS Firewall. Este nuevo modelo de la configuración ofrece las directivas intuitivas para el Routers de la interfaz múltiple, el granularity creciente de la aplicación de las políticas del firewall, y un valor por defecto negar-toda directiva que prohíba el tráfico entre las zonas de Seguridad del Firewall hasta que una directiva explícita se aplique para permitir el tráfico deseable. El Firewall Zona-basado de la directiva (también conocido como el Firewall de la Zona-directiva, o ZFW) cambia la configuración de escudo de protección del más viejo modelo basado en la interfaz (CBAC) a un modelo zona-basado más flexible, más facilmente comprensible. Las interfaces se asignan a las zonas, y la directiva del examen se aplica para traficar la mudanza entre las zonas. las directivas de la Inter-zona ofrecen la considerable flexibilidad y el granularity, así que diversas directivas del examen se pueden aplicar a los grupos del host múltiple conectados con la interfaz del mismo router. Las políticas del firewall se configuran con el lenguaje de la directiva del Cisco (COMPLETO), que emplea una estructura jerárquica para definir el examen para los Network Protocol y los grupos de host a los cuales el examen sea aplicado. Prerequisites Requisitos Cisco recomienda que usted tiene una comprensión básica del CLI del Cisco IOS. Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware. Cisco 2900 series routers Versión de software IOS 15.2(4) M2 La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Soporte WAAS con el Firewall Cisco IOS El soporte WAAS (Wide Area Application Services) con el Firewall Cisco IOS fue introducido en el Cisco IOS Release 12.4(15)T. Proporciona un escudo de protección integrado que optimice los WAN Seguridad-obedientes y las soluciones de la aceleración de la aplicación con las siguientes ventajas: Optimiza WAN con las capacidades completas de la inspección con estado. Simplifica la conformidad de la industria del indicador luminoso LED amarillo de la placa muestra gravedad menor del pago (PCI). Protege el tráfico acelerado WAN transparente. Integra las redes WAAS transparente. Soporta los módulos del equipo de la Administración de redes (NME) WAE (motor de la aplicación de la área ancha) o el despliegue independiente del dispositivo WAAS. WAAS tiene un mecanismo de detección automático que utilice las opciones TCP durante la entrada en contacto de tres vías inicial usada para identificar los dispositivos WAE transparente. Después de la detección automática, los flujos de tráfico optimizados (trayectorias) experimentan un cambio en el número de secuencia TCP para permitir que los puntos finales distingan entre los flujos de tráfico optimizados y nonoptimized. El soporte WAAS para el escudo de protección IOS permite el ajuste de las Variables de estado internas TCP usadas para el examen de la capa 4, sobre la base de la rotación en el número de secuencia mencionado anteriormente. Si el Firewall Cisco IOS nota que un flujo de tráfico ha completado con éxito la detección automática WAAS, permite la rotación del número de secuencia inicial para el flujo de tráfico y mantiene el estado de la capa 4 en el flujo de tráfico optimizado. Escenarios de instrumentación de la optimización del flujo de tráfico WAAS Las secciones siguientes describen dos diversos escenarios de la optimización del flujo de tráfico WAAS para las implementaciones de la sucursal. La optimización del flujo de tráfico WAAS trabaja con la característica del escudo de protección Cisco en un router de los Servicios integrados de Cisco (ISR). La figura abajo muestra un ejemplo de una optimización de punta a punta del flujo de tráfico WAAS con el escudo de protección Cisco. En este despliegue determinado, un equipo de la Administración de redes (NME) - dispositivo WAE está en el mismo dispositivo que el escudo de protección Cisco. El protocolo web cache communication (WCCP) se utiliza para reorientar el tráfico para la interceptación.

Despliegue de la bifurcación WAAS con un dispositivo de la Apagado-trayectoria Despliegue de la bifurcación WAAS con un dispositivo en línea Despliegue de la bifurcación WAAS con un dispositivo de la Apagado-trayectoria Un dispositivo del motor de la aplicación de la área ancha (WAE) puede ser un dispositivo independiente del motor de la automatización del Cisco WAN (WAE) o un módulo de red de Cisco WAAS (NME-WAE) que está instalado en un router de los Servicios integrados (ISR) como motor del servicio integrado (tal y como se muestra en de la figura despliegue de la bifurcación del [WAAS] del servicio de aplicación de la área ancha). La figura abajo muestra un despliegue de la bifurcación WAAS que utilice el protocolo web cache communication (WCCP) para reorientar el tráfico a una apagado-trayectoria, dispositivo independiente WAE para la interceptación del tráfico. La configuración para esta opción es lo mismo que el despliegue de la bifurcación WAAS con un NME-WAE. Ejemplo de diagrama de red Configuración y flujo de paquetes Lo que sigue es un diagrama que representa una configuración del ejemplo con la optimización WAAS girada para el tráfico de extremo a extremo y CMS (Sistema de administración centralizada) estando presente en el extremo del servidor. Los módulos de los waas presentes en el extremo de la bifurcación y el extremo del centro de datos necesitan registrarse con CMS para sus operaciones. Se observa que las aplicaciones HTTPS de CMS para él son comunicación con los módulos WAAS.

Flujo de tráfico de punta a punta WAAS El siguiente ejemplo proporciona una configuración de punta a punta de la optimización del flujo de tráfico WAAS para el Firewall Cisco IOS que utiliza el WCCP para reorientar el tráfico a un dispositivo WAE para la interceptación del tráfico Sección 1: Config relacionados IOS-FW WCCP ip wccp 61 ip wccp 62 ip inspect waas enable Sección 2: Config de la directiva IOS-FW class-map type inspect most-traffic match protocol icmp match protocol ftp match protocol tcp match protocol udp policy map type inspect p1 class type inspect most traffic inspect class class default drop Sección 3: Zona IOS-FW y config de los Zona-pares zone security zone-in zone security zone-out zone security z-waas

zone pair security in out source zone-in destination zone-out service policy type inspect p1 zone pair security out-in source zone-out destination zone-in service policy type inspect p1 Sección 4: Config de la interfaz interface GigabitEthernet0/0 description Trusted interface ip address 172.16.11.1 255.255.255.0 ip wccp 61 redirect in zone member security zone-in interface GigabitEthernet0/1 description Untrusted interface ip address 203.0.113.1 255.255.255.0 ip wccp 62 redirect in zone member security zone-out Observe la nueva configuración en el Cisco IOS Release 12.4(20)T y 12.4(22)T coloca el integrado-servicio-motor en su propia zona y no necesita ser parte de ningunos zona-pares. Los zona-pares se configuran en medio zona-en y zona-hacia fuera. interface Integrated Service Enginel/0 ip address 192.168.10.1 255.255.255.0 ip wccp redirect exclude in zone member security z-waas Sin la zona configurada en el servicio integrado El tráfico Enginel/0 consigue caído con el mensaje de descenso siguiente: *Mar 9 11:52:30.647: %FW-6-DROP_PKT: Dropping tcp session 172.16.11.59:44191 172.16.10.10:80 due to One of the interfaces not being cfged for zoning with ip ident 0 Flujo de tráfico de CMS (dispositivo WAAS que se registra con el administrador central) El siguiente ejemplo proporciona los config para ambos los escenarios enumerados abajo: configuración de punta a punta de la optimización del flujo de tráfico WAAS para el Firewall Cisco IOS que utiliza el WCCP para reorientar el tráfico a un dispositivo WAE para la interceptación del tráfico Permitir el tráfico de CMS (el fluir de tráfico de administración WAAS a/desde CMS desde/hasta los dispositivos WAAS). Sección 1: Config relacionados IOS-FW WCCP ip wccp 61 ip wccp 62 ip inspect waas enable Sección 2: Config de la directiva IOS-FW class-map type inspect most-traffic match protocol icmp match protocol ftp match protocol tcp match protocol udp

policy map type inspect p1 class type inspect most traffic inspect class class default drop 2.1 de la sección: Directiva IOS-FW relacionada con el tráfico de CMS Observe la clase que la correspondencia abajo es necesaria permitir que vaya el tráfico de CMS a través. class-map type inspect waas-special match access-group 123 policy-map type inspect p-waas-man class type inspect waas-special pass class class-default drop Sección 3: Zona IOS-FW y config de los Zona-pares zone security zone-in zone security zone-out zone security z-waas zone pair security in out source zone-in destination zone-out service policy type inspect p1 zone pair security out in source zone-out destination zone-in service policy type inspect p1 Sección 3.1: Zona IOS-FW CMS y config relacionados de los Zona-pares Observe el waas-out de los zona-pares y los out-waas se requieren para aplicar la directiva creada arriba para el tráfico de CMS. zone-pair security waas-out source z-waas destination zone-out service-policy type inspect p-waas-man zone-pair security out-waas source zone-out destination z-waas service-policy type inspect p-waas-man Sección 4: Config de la interfaz interface GigabitEthernet0/0 description Trusted interface ipaddress 172.16.11.1 255.255.255.0 ip wccp 61 redirect in zone member security zone-in interface GigabitEthernet0/1 description Untrusted interface ip address 203.0.113.1 255.255.255.0 ip wccp 62 redirect in zone member security zone-out interface Integrated Service Enginel/0 ip address 192.168.10.1 255.255.255.0 ip wccp redirect exclude in zone member security z-waas

Sección 5: Lista de acceso para el tráfico de CMS Observe la lista de acceso que se utiliza para el tráfico de CMS. Está permitiendo el tráfico HTTPS en ambas las direcciones pues el tráfico de CMS es HTTPS. access-list 123 permit tcp any eq 443 any access-list 123 permit tcp any any eq 443 Información de la sesión ZBF El usuario en 172.16.11.10 detrás del r1 del router está accediendo al servidor de archivos recibido detrás del extremo remoto con una dirección IP de 172.16.10.10, la sesión ZBF se construye en-hacia fuera de los zona-pares y el router reorienta después de eso el paquete al motor WAAS para la optimización. R1#sh policy-map type inspect zone-pair in-out sess policy exists on zp in-out Zone-pair: in-out Service-policy inspect : p1 Class-map: most-traffic (match-any) Match: protocol icmp 0 packets, 0 bytes 30 second rate 0 bps Match: protocol ftp 0 packets, 0 bytes 30 second rate 0 bps Match: protocol tcp 2 packets, 64 bytes 30 second rate 0 bps Match: protocol udp 0 packets, 0 bytes 30 second rate 0 bps Inspect Number of Established Sessions = 1 Established Sessions Session 3D4A32A0 (172.16.11.10:49300)=>(172.16.10.10:445) tcp SIS_OPEN/TCP_ESTAB Created 00:00:40, Last heard 00:00:10 Bytes sent (initiator:responder) [0:0] Sesión construida en R1-WAAS y R2-WAAS por dentro del host al servidor remoto. R1-WAAS R1-WAAS#show statistics connection Current Active Optimized Flows: 1 Current Active Optimized TCP Plus Flows: 1 Current Active Optimized TCP Only Flows: 0 Current Active Optimized Single Sided Flows: 0 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 1 Current Reserved Flows: 10

Current Active Pass-Through Flows: 0 Historical Flows: 13 D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,I:ICA,M:MAPI,N:NFS,S:SSL,W:WAN SECURE,V:VID EO, X: SMB Signed Connection ConnID Source IP:Port Dest IP:Port PeerID Accel RR 14 172.16.11.10:49185 172.16.10.10:445 c8:9c:1d:6a:10:61 TCDL 00.0% R2-WAAS R2-WAAS#show statistics connection Current Active Optimized Flows: 1 Current Active Optimized TCP Plus Flows: 1 Current Active Optimized TCP Only Flows: 0 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0 Current Reserved Flows: 10 Current Active Pass-Through Flows: 0 Historical Flows: 9 D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO ConnID Source IP:Port Dest IP:Port PeerID Accel RR 10 172.16.11.10:49185 172.16.10.10:445 c8:9c:1d:6a:10:81 TCDL 00.0% Configuración en funcionamiento del router del lado del cliente (r1) con WAAS y ZBF habilitados. R1#sh run Building configuration... Current configuration : 3373 bytes hostname R1 boot-start-marker boot bootstrap tftp c2900-universalk9-mz.spa.153-3.m4.bin 255.255.255.255 boot system flash c2900-universalk9-mz.spa.153-3.m4.bin boot-end-marker ip wccp 61 ip wccp 62 no ipv6 cef parameter-map type inspect global WAAS enable log dropped-packets enable max-incomplete low 18000 max-incomplete high 20000 multilink bundle-name authenticated license udi pid CISCO2911/K9 sn FGL171410K8 license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9

license boot module c2900 technology-package datak9 hw-module pvdm 0/1 hw-module sm 1 class-map type inspect match-any most-traffic match protocol icmp match protocol ftp match protocol tcp match protocol udp policy-map type inspect p1 class type inspect most-traffic inspect class class-default drop zone security in-zone zone security out-zone zone security waas-zone zone-pair security in-out source in-zone destination out-zone service-policy type inspect p1 zone-pair security out-in source out-zone destination in-zone service-policy type inspect p1 interface GigabitEthernet0/0 description Connection to IPMAN FNN N6006654R bandwidth 6000 ip address 203.0.113.1 255.255.255.0 ip wccp 62 redirect in ip flow ingress ip flow egress zone-member security out-zone duplex auto speed auto interface GigabitEthernet0/1 ip address 172.16.11.1 255.255.255.0 no ip redirects no ip proxy-arp ip wccp 61 redirect in zone-member security in-zone duplex auto speed auto interface SM1/0 description WAAS Network Module Device Name dciacbra01c07 ip address 192.168.10.1 255.255.255.0 ip wccp redirect exclude in service-module ip address 192.168.183.46 255.255.255.252 Application: Restarted at Sat Jan 5 04:47:14 2008 service-module ip default-gateway 192.168.183.45 hold-queue 60 out end Despliegue de la bifurcación WAAS con un dispositivo en línea La figura abajo muestra un despliegue de la bifurcación del servicio de aplicación de la área ancha (WAAS) que tenga un dispositivo en línea del motor de la aplicación de la área ancha (WAE) que esté físicamente delante del router de los Servicios integrados (ISR). Porque el dispositivo WAE está delante del dispositivo, el escudo de protección Cisco recibe los paquetes optimizados WAAS, y como consecuencia, acode el examen 7 en el cliente que el lado no se soporta.

El router que funciona con el escudo de protección IOS entre los dispositivos WAAS, ve solamente el tráfico optimizado. Los relojes de la característica ZBF para el apretón de manos de tres vías inicial (opción TCP 33 y la rotación del número de secuencia) y él ajustan automáticamente contaban con la ventana de la secuencia TCP (no altera el número de secuencia en el paquete sí mismo). Aplica las características completas del escudo de protección con estado L4 para las sesiones optimizadas WAAS. La solución transparente WAAS facilita el Firewall aplica por el escudo de protección con estado de la sesión y las directivas de QoS. Detalles El Firewall ve un normal paquete TCP Syn con la opción 0x21 y crea una sesión para ella. No hay problemas con las interfaces de entrada o salida puesto que el WCCP no está implicado. La vuelta SYN-ACK no es un paquete reorientado y el Firewall toma la nota de él. El Firewall marca para saber si hay la opción 0x21 en el SYN-ACK y realiza el salto del número de secuencia en caso necesario. También apaga el examen L7 si se optimiza la conexión. Debe ser observado que el único aspecto que distingue esto del escenario Router-1 es que el tráfico de retorno no está reorientado. No hay 2" las medias conexiones en este cuadro. Configuración Configuración estándar ZBF sin cualquier zona específica para el tráfico WAAS. Solamente el examen de la capa 7 no será soportado. Restricciones para la Interoperabilidad ZBF con WAAS La capa 2 WCCP reorienta el método no se soporta en el escudo de protección IOS que soporta solamente el cambio de dirección del Generic Routing Encapsulation (GRE). El escudo de protección IOS soporta solamente el redireccionamiento de WCCP. Si WAAS utiliza el Routing basado en políticas (PBR) para conseguir los paquetes reorientados, esta solución no asegurará la Interoperabilidad y por lo tanto sin apoyo. El escudo de protección IOS no realizará el examen L7 en las sesiones TCP optimizadas WAAS. El escudo de protección IOS requiere el IP examina el permiso de los waas y el wccp del IP notifica los comandos CLI para el redireccionamiento de WCCP. El escudo de protección IOS con la Interoperabilidad NAT y WAAS-NM no se soporta actualmente. El cambio de dirección del escudo de protección IOS WAAS es solamente aplicado para los paquetes TCP. El escudo de protección IOS no soporta el active/las topologías activas. Todos los paquetes que pertenecen a una sesión DEBEN atravesar el cuadro del escudo de protección IOS.

Información Relacionada Guía de configuración de seguridad: Firewall Zona-basado de la directiva, Cisco IOS Release 15M&T Diseño del Firewall de la directiva y guía Zona-basados de la aplicación

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback