Configuración y Resolución de Problemas del FWSM (Firewall Services Module).

Sin Contestar
Jul 16th, 2012

con Itzcoatl Espinosa


Lea la biografíaBienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de la Configuración y Resolución de Problemas del FWSM.

Itzcoatl Espinosa es ingeniero de Soporte del Centro de Soporte Técnico (TAC) de Cisco Latinoamérica. Itzcoatl está especializado en tecnologías de Seguridad y Data Center.  Él tiene más de 5 años de experiencia soportando tecnologías de WAN, Firewall y VPN. Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe donde cursó la carrera de Ingeniería en Electrónica y Comunicaciones (IEC’07) y ha obtenido las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente el CCIE en seguridad (# 33540).

Por favor use las estrellas para calificar las respuestas y así informar a Itzcoatl que usted ha recibido una  respuesta adecuada.

Puede ser que Itzcoatl no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento.  Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad.

La presentación del evento se encuentra aquí. Puede accesar el video de la sesión en vivo, aquí.  En este documento Q&A encontrará todas las preguntas realizadas.

Este evento estará abierto del miércoles 18 de julio al viernes 27 de julio de 2012 . Visite esta conversación para ver las respuestas a sus preguntas.

I have this problem too.
0 votos
  • 1
  • 2
  • 3
  • 4
  • 5
Overall Rating: 0 (0 ratings)
nicolas.delrio Mar, 07/17/2012 - 08:39

Buenas tardes. En nuestra red tenemos configurado dos FWSM en modo activo/actvo con 3 contextos virtuales. El FWSM está siendo administrado a través de un Cisco Security Manager. En cada contexto tenemos aproximadamente configuradas 300 reglas desde el CSM.

Actualmente estamos necesitando realizar una depuración de reglas, para lo cual utilizamos herramientas que provee el FWSM y son fáciles de usar desde el CSM.

Nos generó una gran duda la herramienta hit count sobre las reglas, ya que no encontramos documentación acerca de cuando los valores de cada ACE se ponen a cero.

Como podemos hacer para poner todos los contadores a cero, para luego dejar el FW contando para cada ACE por 15 días y luego poder determinar qué reglas no están siendo utilizadas? Si durante los 15 días tiramos depploys en el CSM, estos valores se vuelven a poner en cero?

Muchas gracias

Itzcoatl Espinosa Jue, 07/19/2012 - 10:58

Hola Nicolás,

Gracias, la forma en la cual podemos limpiar los contadores de las listas de control de acceso, es a través del siguiente comando ejecutado en el  FWSM:

clear access-list [nombre de la lista de acceso] counters

Con respecto al CSM, no me encuentro muy familiarizado con el producto, por lo que no sabría por qué tiene este comportamiento.

Saludos,

Itzcoatl Espinosa

Fernando Mondragon Mar, 07/17/2012 - 09:13

Hola Itzcoatl:

Estuve recibiendo alguna vez un error que decía algo como "power to module set off (Module  Failed SCP dnld)", como se soluciona? Qué significa?

Itzcoatl Espinosa Jue, 07/19/2012 - 11:04

Fernando,

Estos mensajes indican que existe  una falla de comunicación entre el switch y el FWSM. La mayoría de las veces ocasionados por problemas  de hardware. Yo sugiero hacer lo siguiente:

1) Remover la tajeta y volverla a colocar.

2) Colocarla en otra ranura del 6500 que se encuentre libre.

3) En caso de que el problema continue, se deberá reemplazar el FWSM.

Gracias,

Itzcoatl Espinosa

carmijo190304 Mar, 07/17/2012 - 15:08

Estimado Itzcoatl:

Tengo una pareja de 6509, cada uno con un modulo de FWSM, en el 6509-2 tengo fuera el FWSM es decir no esta conectado al Chasis 6500, la pregunta es:

      Debo tener alguna precaucion al conectar el FWSM2 al chasis2 ya que ambos 6509 estan en produccion a nivel de Routing y Switching? Pasa algo con el STP del Chasis2 ?

Saludos.

Cristóbal

Itzcoatl Espinosa Jue, 07/19/2012 - 11:09

Hola Cristobal,

No deben existir problemas de STP. Yo  solamente sugiero remover los comandos de "firewall  module" y "firewall vlan-group " del switch antes de colocar el FWSM en el chassis.

La siguiente documentación hablar más acerca de como colocar un FWSM cuando existe redundancia. Espero te sirva.

http://www.cisco.com/en/US/partner/products/hw/modules/ps2706/products_tech_note09186a0080531753.shtml

Saludos,

Itzcoatl Espinosa

juan22arg Lun, 07/23/2012 - 05:32

Hola Itzcoatl Espinosa

te ago una consulta talvez sepas. Tengo un router linksys rv042 con varias pc xp conectadas y todas navegan. Ahora bien tengo dos maquinas con windows vista que no se conectan si esta el firewall activado. y no tengo reglas puestas sobre estas maquinas. No sabes si tengo alguna incompatibilidad o tengo que cargar alguna configuracion especial en vista?

Itzcoatl Espinosa Lun, 07/23/2012 - 07:48

Juan,

Sinceramente desconozco si existe algún problema de compatibilidad entre el RV042 y máquinas con Windows Vista. Solamente he leido que en caso de que se requiera configurar QuickVPN, el firewall debe estar encendido para que este funcione.

Sin embargo considero que lo mejor es que abras un caso para que un ingeniero especializado en el RV te ayude a verificar esta situación.

Muchas gracias,

Itzcoatl

juan22arg Lun, 07/23/2012 - 07:52

Bueno gracias!!!

javier.linares Mié, 07/25/2012 - 08:15

No se puede acceder al video completo. Sólo se muestra poco más de un minuto

Cisco Moderador Lun, 07/30/2012 - 10:28

Agradecemos a Itzcoatl y a todos los usuarios que participaron en esta sesión de Pregunta al Experto. ¡Estén al pendiente de futuros eventos!

Acciones

Inicio de sesión or Register to take actions

This Discussion

Posted Julio 16, 2012 at 11:21 AM
Updated Julio 25, 2012 at 1:21 PM
Stats:
Respuestas12 Overall Rating:
Visualizaciones1811 Votes:0
Compartido0

Related Content

 

Discussions Leaderboard

Lugar Nombre de usuario Puntos
1
Julio Carvajal
129
2
Cisco Moderador
24
3
jaimeglez
10
4
Edgar Servin
10
5
jorge.andres
5
Lugar Nombre de usuario Puntos
Cisco Moderador
10
Julio Carvajal
10