المقدمة
يصف هذا المستند مشكلة تم العثور عليها مع جدار الحماية المستند إلى المنطقة (ZBF)، والذي لا يقوم ZBF منه بفحص بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) باستخدام تضمين التوجيه العام (GRE) بشكل صحيح .
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بتكوين Cisco ZBF في موجهات IOS.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- موجهات الخدمات المتكاملة (ISR G1)
- IOS 15M&T
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
PPTP هو طريقة تنفيذ للشبكات الخاصة الظاهرية. يستخدم PPTP قناة تحكم على TCP ونفق GRE الذي يعمل على تضمين حزم PPP.
يتم بدء نفق PPTP إلى النظير على منفذ TCP 1723. ويتم بعد ذلك إستخدام اتصال TCP هذا لبدء نفق GRE ثان وإدارته إلى نفس النظير.
يتم إستخدام نفق GRE لحمل حزم PPP المغلفة، والتي تتيح نفق أي بروتوكول يمكن تحميله داخل PPP. إذا تم تضمين NetBEUI و IPX.
المشكلة: أستكشاف أخطاء فحص جدار الحماية المستند إلى منطقة IOS الخاصة ببروتوكول PPTP مع GRE وإصلاحها
يتم التأكد من أن ZBF لا يفحص PPTP باستخدام حركة مرور GRE، وهذا يرجع إلى أنه لا يفتح ثقوب PIN المطلوبة للسماح لحركة المرور العائدة بالمرور، هنا مثال لتكوين ZBF النموذجي للتفتيش على بروتوكول PPTP مع حركة مرور GRE:
ip access-list extended 160
permit gre any any
class-map type inspect match-all PPTP-GRE
match access-group 160
policy-map type inspect WAN-LAN-pmap
class class-default
drop
policy-map type inspect LAN-WAN-pmap
class type inspect PPTP-GRE
inspect
class class-default
drop
zone security LAN
zone security WAN
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-pmap
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-pmap
ملاحظة: ضع في الاعتبار أنه في مثال التكوين يتم بدء اتصال PPTP من الشبكة المحلية (LAN) إلى منطقة WAN.
ملاحظة: على الرغم من أنه يتم عرض اتصال TCP الخاص ب PPTP كما هو مقرر في إخراج show policy-firewall session ل ZBF، إلا أن اتصال PPTP لا يعمل من خلال الموجه.
الحل
للسماح لاتصالات PPTP VPN مع GRE من خلال ZBF، يلزمك تغيير إجراء الفحص الخاص بقواعد ZBF لإجراء تمرير في كلا الاتجاهين لتدفق حركة المرور في أزواج المناطق المعنية، تماما كما يلي:
ip access-list extended 160
permit gre any any
class-map type inspect match-all PPTP-GRE
match access-group 160
policy-map type inspect WAN-LAN-pmap
class type inspect PPTP-GRE
pass
class class-default
drop
policy-map type inspect LAN-WAN-pmap
class type inspect PPTP-GRE
pass
class class-default
drop
zone security LAN
zone security WAN
zone-pair security LAN-WAN source LAN destination WAN
service-policy type inspect LAN-WAN-pmap
zone-pair security WAN-LAN source WAN destination LAN
service-policy type inspect WAN-LAN-pmap
بعد تطبيق تغيير تكوين ZBF هذا، سيعمل اتصال PPTP VPN مع GRE بشكل جيد من خلال ZBF.
معلومات ذات صلة
للسماح ب GRE وتضمين حركة مرور بروتوكول حمولة الأمان (ESP) من خلال جدار حماية سياسة قائم على المنطقة، أستخدم إجراء المرور. لا تدعم بروتوكولات GRE و ESP الفحص المعبر عن الحالة وإذا كنت تستخدم إجراء الفحص على ZBF، يتم إسقاط حركة مرور هذه البروتوكولات.
دليل تكوين الأمان: جدار حماية السياسات القائم على المناطق، الإصدار 15M&T من Cisco IOS
الخطأ ذي الصلة
CSCtn52424 ZBF ENH: تنفيذ فحص PPTP باستخدام المرور الديناميكي ل GRE
التعليقات