Configuración y Resolución de Problemas del FWSM (Firewall Services Module).

Unanswered Question
Jul 16th, 2012

con Itzcoatl Espinosa


Lea la biografíaBienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de la Configuración y Resolución de Problemas del FWSM.

Itzcoatl Espinosa es ingeniero de Soporte del Centro de Soporte Técnico (TAC) de Cisco Latinoamérica. Itzcoatl está especializado en tecnologías de Seguridad y Data Center.  Él tiene más de 5 años de experiencia soportando tecnologías de WAN, Firewall y VPN. Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe donde cursó la carrera de Ingeniería en Electrónica y Comunicaciones (IEC’07) y ha obtenido las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente el CCIE en seguridad (# 33540).

Por favor use las estrellas para calificar las respuestas y así informar a Itzcoatl que usted ha recibido una  respuesta adecuada.

Puede ser que Itzcoatl no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento.  Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad.

La presentación del evento se encuentra aquí. Puede accesar el video de la sesión en vivo, aquí.  En este documento Q&A encontrará todas las preguntas realizadas.

Este evento estará abierto del miércoles 18 de julio al viernes 27 de julio de 2012 . Visite esta conversación para ver las respuestas a sus preguntas.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (0 ratings)
nicolas.delrio Tue, 07/17/2012 - 08:39

Buenas tardes. En nuestra red tenemos configurado dos FWSM en modo activo/actvo con 3 contextos virtuales. El FWSM está siendo administrado a través de un Cisco Security Manager. En cada contexto tenemos aproximadamente configuradas 300 reglas desde el CSM.

Actualmente estamos necesitando realizar una depuración de reglas, para lo cual utilizamos herramientas que provee el FWSM y son fáciles de usar desde el CSM.

Nos generó una gran duda la herramienta hit count sobre las reglas, ya que no encontramos documentación acerca de cuando los valores de cada ACE se ponen a cero.

Como podemos hacer para poner todos los contadores a cero, para luego dejar el FW contando para cada ACE por 15 días y luego poder determinar qué reglas no están siendo utilizadas? Si durante los 15 días tiramos depploys en el CSM, estos valores se vuelven a poner en cero?

Muchas gracias

itespino Thu, 07/19/2012 - 10:58

Hola Nicolás,

Gracias, la forma en la cual podemos limpiar los contadores de las listas de control de acceso, es a través del siguiente comando ejecutado en el  FWSM:

clear access-list [nombre de la lista de acceso] counters

Con respecto al CSM, no me encuentro muy familiarizado con el producto, por lo que no sabría por qué tiene este comportamiento.

Saludos,

Itzcoatl Espinosa

fermondragon Tue, 07/17/2012 - 09:13

Hola Itzcoatl:

Estuve recibiendo alguna vez un error que decía algo como "power to module set off (Module  Failed SCP dnld)", como se soluciona? Qué significa?

itespino Thu, 07/19/2012 - 11:04

Fernando,

Estos mensajes indican que existe  una falla de comunicación entre el switch y el FWSM. La mayoría de las veces ocasionados por problemas  de hardware. Yo sugiero hacer lo siguiente:

1) Remover la tajeta y volverla a colocar.

2) Colocarla en otra ranura del 6500 que se encuentre libre.

3) En caso de que el problema continue, se deberá reemplazar el FWSM.

Gracias,

Itzcoatl Espinosa

carmijo190304 Tue, 07/17/2012 - 15:08

Estimado Itzcoatl:

Tengo una pareja de 6509, cada uno con un modulo de FWSM, en el 6509-2 tengo fuera el FWSM es decir no esta conectado al Chasis 6500, la pregunta es:

      Debo tener alguna precaucion al conectar el FWSM2 al chasis2 ya que ambos 6509 estan en produccion a nivel de Routing y Switching? Pasa algo con el STP del Chasis2 ?

Saludos.

Cristóbal

itespino Thu, 07/19/2012 - 11:09

Hola Cristobal,

No deben existir problemas de STP. Yo  solamente sugiero remover los comandos de "firewall  module" y "firewall vlan-group " del switch antes de colocar el FWSM en el chassis.

La siguiente documentación hablar más acerca de como colocar un FWSM cuando existe redundancia. Espero te sirva.

http://www.cisco.com/en/US/partner/products/hw/modules/ps2706/products_tech_note09186a0080531753.shtml

Saludos,

Itzcoatl Espinosa

juan22arg Mon, 07/23/2012 - 05:32

Hola Itzcoatl Espinosa

te ago una consulta talvez sepas. Tengo un router linksys rv042 con varias pc xp conectadas y todas navegan. Ahora bien tengo dos maquinas con windows vista que no se conectan si esta el firewall activado. y no tengo reglas puestas sobre estas maquinas. No sabes si tengo alguna incompatibilidad o tengo que cargar alguna configuracion especial en vista?

itespino Mon, 07/23/2012 - 07:48

Juan,

Sinceramente desconozco si existe algún problema de compatibilidad entre el RV042 y máquinas con Windows Vista. Solamente he leido que en caso de que se requiera configurar QuickVPN, el firewall debe estar encendido para que este funcione.

Sin embargo considero que lo mejor es que abras un caso para que un ingeniero especializado en el RV te ayude a verificar esta situación.

Muchas gracias,

Itzcoatl

Cisco.Moderador Mon, 07/30/2012 - 10:28

Agradecemos a Itzcoatl y a todos los usuarios que participaron en esta sesión de Pregunta al Experto. ¡Estén al pendiente de futuros eventos!

Actions

Login or Register to take actions

This Discussion

Posted July 16, 2012 at 11:21 AM
Stats:
Replies:12 Avg. Rating:
Views:1775 Votes:0
Shares:0

Discussions Leaderboard