URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 62
[ Назад ]

Исходное сообщение
"Не работает FWSM"
Отправлено drumisco , 18-Авг-12 16:50

Привет всем!
Перед тем, как создать тему, просмотрел тут похожие, таких нет. Так же перерыл почти все возможные мануалы на cisco.com - особо не помогло (это к тому, что бы туда не отправляли)
Проблема следующая:
Имеется SW6504 и модуль FWSM. Сейчас уже есть рабочая сеть с кучей отделов, и серверной частью. Задача - внедрить FWSM и использовать для фильтрования трафика ну хотя бы серверной сети(таких 4).
Выполнил основной конфиг:
на 6504 -
sw-core#sh run | i fire
firewall autostate
firewall multiple-vlan-interfaces
firewall module 4 vlan-group 1,2
firewall vlan-group 1  222
firewall vlan-group 2  120
!
interface Vlan222
description SVI-FVSM
ip address 10.10.22.2 255.255.255.0
ip ospf network broadcast
!
interface Vlan120
ip address 10.10.120.2 255.255.255.0
end
на FWSM -
interface Vlan222
nameif Inside
security-level 100
ip address 10.10.22.1 255.255.255.0
!
interface Vlan120
nameif TEST
security-level 50
ip address 10.10.120.1 255.255.255.0
!
access-list AclInTEST extended permit ip any any
access-list AclOutTEST extended permit ip any any
access-list AclInInside extended permit ip any any
access-list AclOutInside extended permit ip any any
!
access-group AclInInside in interface Inside
access-group AclOutInside out interface Inside
access-group AclInTEST in interface TEST
access-group AclOutTEST out interface TEST
!
route Inside 0.0.0.0 0.0.0.0 10.10.22.2 1
В итоге пинги ходят во все стороны, а трафик нет.
Запускаю дебаг при попытке подключения по рдп с ПК на ПК, смотрю:
%FWSM-6-305009: Built dynamic translation from Inside:10.10.10.3 to TEST:10.10.10.3
%FWSM-6-302013: Built inbound TCP connection 145673054537519068 for TEST:10.10.120.10/60225 (10.10.120.10/60225) to Inside:10.10.10.3/3389 (10.10.10.3/3389)
%FWSM-6-302014: Teardown TCP connection 145673054537519068 for TEST:10.10.120.10/60225 to Inside:10.10.10.3/3389 duration 0:00:20 bytes 884 SYN Timeout
%FWSM-6-106015: Deny TCP (no connection) from 10.10.120.10/60225 to 10.10.10.3/3389 flags RST ACK  on interface TEST
Подскажите, где проблема?

Содержание

Не работает FWSM,BJ, 23:18 , 18-Авг-12
- Не работает FWSM,drumisco, 13:02 , 19-Авг-12

Сообщения в этом обсуждении

"Не работает FWSM"
Отправлено BJ , 18-Авг-12 23:18

На 6500:
no interface Vlan120
ip route 10.10.120.0 255.255.255.0 10.10.22.1

"Не работает FWSM"
Отправлено drumisco , 19-Авг-12 13:02

> На 6500:
> no interface Vlan120
> ip route 10.10.120.0 255.255.255.0 10.10.22.1
Ура! Заработало! Благодарю Вас!