CISCO 926-4P SEC Lizenz ,CLM oder Installation Lizenz USB und Zone Based Firewall
Hallo ,
ich möchte eine Zone Base Firewall installieren aber ich habe das Problem dass ich die Lizenz gerne über USB installieren bzw. einspielen würde aber dieses laut der Anleitung die ich zugeschickt bekommen habe nicht funktioniert.
Des weiteren kann ich den CLM den Cisco License Manager über den Link welchen ich erhalten habe nicht herunterladen und deshalb Frage ich hier nach ob ihr das selbe Problem habt oder mir bezüglich der Installation weiterhelfen könnt.
Gruß
Mario
ich möchte eine Zone Base Firewall installieren aber ich habe das Problem dass ich die Lizenz gerne über USB installieren bzw. einspielen würde aber dieses laut der Anleitung die ich zugeschickt bekommen habe nicht funktioniert.
Des weiteren kann ich den CLM den Cisco License Manager über den Link welchen ich erhalten habe nicht herunterladen und deshalb Frage ich hier nach ob ihr das selbe Problem habt oder mir bezüglich der Installation weiterhelfen könnt.
Gruß
Mario
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1220798787
Url: https://administrator.de/forum/cisco-926-4p-sec-lizenz-clm-oder-installation-lizenz-usb-und-zone-based-firewall-1220798787.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
29 Kommentare
Neuester Kommentar
Jmd Erfahrung damit
In einem Administrator Forum mit Cisco Administratoren sicher eine überflüssige Frage. Im Grunde ist es kinderleicht wenn man dem Lizenz Tutorial folgt:
https://www.cisco.com/c/en/us/td/docs/routers/access/sw_activation/SA_on ...
Wir gehen jetzt einmal davon aus das du über das Cisco Lizenz Portal http://www.cisco.com/go/license die Lizenz Datei mit der Endung .xml oder .lic nach dem o.a. Tutorial erstellt und runtergeladen hast ?! Ist dem so ?
Wenn ja, dann kopierst du diese xml Datei auf deinen USB Stick, und steckst den in den Router.
Jetzt solltest du eine Terminal Message ala:
Dec 10 05:02:13.427: %USBFLASH-5-CHANGE: usbflash1 has been inserted!
bekommen was zeigt das der Router den USB Stick erkannt hat und ihm den Device Namen usbflash1 zugewiesen hat.
Achtung: Der USB Stick muss FAT32 formatiert sein damit das der Fall ist.
Wenn du nun den Copy Befehl aufrufst und dir die Devices ansiehst sollte auch dein Stick als "usbflash1" zu sehen sein.
Router#copy ?
/erase Erase destination file system.
/error Allow to copy error file.
/noverify Don't verify image signature before reload.
/verify Verify image signature before reload.
archive: Copy from archive: file system
cns: Copy from cns: file system
flash0: Copy from flash0: file system
flash1: Copy from flash1: file system
flash: Copy from flash: file system
ftp: Copy from ftp: file system
http: Copy from http: file system
https: Copy from https: file system
null: Copy from null: file system
nvram: Copy from nvram: file system
pram: Copy from pram: file system
rcp: Copy from rcp: file system
running-config Copy from current system configuration
scp: Copy from scp: file system
startup-config Copy from startup configuration
system: Copy from system: file system
tar: Copy from tar: file system
tftp: Copy from tftp: file system
tmpsys: Copy from tmpsys: file system
usbflash1: Copy from usbflash1: file system <== Erscheint wenn USB eingesteckt !
xmodem: Copy from xmodem: file system
ymodem: Copy from ymodem: file system
Mit Router#dir usbflash1: solltest du dann auch den Inhalt des USB Sticks sehen
Nun kopierst du die XML Datei auf den Router Flash Speicher mit:
copy usbflash1: <Datei> flash:
Mit show flash: oder auch dir flash: kannst du dir den internen Router Flash ansehen und ob deine Lizenzdatei sauber kopiert wurde.
Dann mit license install flash0:<Datei> die Lizenz über das CLI installieren. Das sollte dann eine Success Meldung im Terminal geben ala:
*Jul 7 17:24:57.391: %LICENSE-6-INSTALL: Feature XYZ was installed in this device.
Ist dem so mit reload den Router rebooten und nach dem Reboot zeigt dir dann show version oder auch show license die erfolgreich installierte Lizenz an:
<code type = plain>Router#sh license
Index 1 Feature: ipbasek9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Index 2 Feature: securityk9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Ich habe eine .lic Datei ist dieses auch ok? Funktioniert es mit diesen Dateien auch?
Noch besser, denn das ist die Lizenz Datei die nicht nach Hause telefoniert. Damit geht es natürlich auch !HIER wird es nochmal ganz genau erklärt:
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus1000/Inte ...
So ist es richtig oder?`
Yepp, bingo ! Lizenz ist installiert und aktiviert !Gibt es da für die ZFW eines von Cisco?
Ja gibt es. Guckst du hier:https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/98628-z ...
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/108014- ...
Oder natürlich das hiesige Forum:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Was genau macht die Firewall aus dem tutorial wie sicher ist sie?
Das kommt drauf an, was da steht. Schaue es dir genau an. Wenn du dann die Funktionsweise erstehst, kannst du auch beurteilen, gegen was die dich absichert.Firewalls bewirken aber keine Wunder, sondern sind ausschließlich zusätzlicher Schutz vor Angriffen, wenn auf einem Rechner Serverdienste (u.a. die Windows-SMB-Dateifreigabe) laufen, die da eigentlich nicht laufen sollten.
Mmmhhh...alle Traffic Counter sind auf 0. Mit anderen Worten geht da (noch) nix rüber !
Ist die FW jetzt rein nur konfiguriert und der Router noch nicht aktiv am Internet ? Die show Kommandos sind relativ nutzlos wenn man nicht weiss ob der Router schon aktiv ist.
Man müsste also mal deine jetzt aktive Konfig (anonymisiert) mit "sh run" sehen um das wirklich beurteilen zu können das alles richtig konfiguriert ist...
Eine SPI Firewall mit ALG wie die in deinem Cisco Router ist absolut sicher, jedenfalls so absolut wie DU sie konfigurierst. Sie kann logischerweise natürlich nicht hellsehen und menschliche Konfig Fehler korrigieren. Folglich ist sie also immer so sicher wie DU SELBER sie machst.
Eine simple Binsenweisheit die übrigens für ALLE Firewalls auf der Welt gilt !
Ist die FW jetzt rein nur konfiguriert und der Router noch nicht aktiv am Internet ? Die show Kommandos sind relativ nutzlos wenn man nicht weiss ob der Router schon aktiv ist.
Man müsste also mal deine jetzt aktive Konfig (anonymisiert) mit "sh run" sehen um das wirklich beurteilen zu können das alles richtig konfiguriert ist...
Eine SPI Firewall mit ALG wie die in deinem Cisco Router ist absolut sicher, jedenfalls so absolut wie DU sie konfigurierst. Sie kann logischerweise natürlich nicht hellsehen und menschliche Konfig Fehler korrigieren. Folglich ist sie also immer so sicher wie DU SELBER sie machst.
Eine simple Binsenweisheit die übrigens für ALLE Firewalls auf der Welt gilt !
https://community.cisco.com/t5/network-security/fw-4-tcp-ooo-seg-droppin ...
https://freddejonge.nl/get-rid-cisco-ios-router-message-fw-4-tcp_ooo_seg ...
Die "Konfig Leiche" VLAN 10 solltest du besser immer entfernen ! Es ist kontraproduktiv kaputte Konfig Reste in einer aktiven Konfig rumdümpeln zu lassen. Sowas kann immer böse Side Effects nach sich ziehen. Also mit "no int vlan 10" sowas entfernen. Ein no vor dem Kommando löscht dieses in der Regel !
Ansonsten ist deine Konfig und die ZFW Konfig soweit OK. Die ZFW Konfig hat allerdings noch einen gravierenden Fehler was das IPv6 Setup anbetrifft. Da du IPv6 auch aktiviert hast solltest du das in jedem Falle anpassen. Das Kapitel "ZFW Firewall für IPv6 anpassen" im hiesigen Cisco Tutorial geht explizit darauf ein ! Das hast du vermutlich wieder einmal nicht gelesen und umgesetzt.
Deine darauf angepasste ZFW Firewall müsste dann so aussehen:
(Die v4 IPsec VPN Allow Regeln am WAN sind jetzt mit den v6 in der Map ALLOW_IN zusammengefasst !)
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6
!
class-map type inspect match-any ICMPv6
match access-group name ICMPv6
!
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
!
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map ALLOW_IN
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect ICMPv6
description Traffic ICMPv6 to LAN
class type inspect ICMPv6
inspect
class class-default
drop
policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internet zum Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
!
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
zone-pair security ICMPv6 source INTERNET destination GAST
service-policy type inspect ICMPv6
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
ip access-list extended ALLOWv4
10 permit udp any any eq isakmp
20 permit udp any any eq non500-isakmp
30 permit esp any any
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
Nach diesen Korrekturen wäre dann soweit alles fehlerfrei.
https://freddejonge.nl/get-rid-cisco-ios-router-message-fw-4-tcp_ooo_seg ...
Knan keine daten aus konsole kopieren? hab int dialer 0 shut und dnan ok
Bahnhof ?, Ägypten ? Was soll uns dieser kryptische Satz denn nun sagen ??? Daten aus der Konsole kopiert man stinknormal mit Cut and Paste. Oder was meinst du ??Die "Konfig Leiche" VLAN 10 solltest du besser immer entfernen ! Es ist kontraproduktiv kaputte Konfig Reste in einer aktiven Konfig rumdümpeln zu lassen. Sowas kann immer böse Side Effects nach sich ziehen. Also mit "no int vlan 10" sowas entfernen. Ein no vor dem Kommando löscht dieses in der Regel !
Ansonsten ist deine Konfig und die ZFW Konfig soweit OK. Die ZFW Konfig hat allerdings noch einen gravierenden Fehler was das IPv6 Setup anbetrifft. Da du IPv6 auch aktiviert hast solltest du das in jedem Falle anpassen. Das Kapitel "ZFW Firewall für IPv6 anpassen" im hiesigen Cisco Tutorial geht explizit darauf ein ! Das hast du vermutlich wieder einmal nicht gelesen und umgesetzt.
Deine darauf angepasste ZFW Firewall müsste dann so aussehen:
(Die v4 IPsec VPN Allow Regeln am WAN sind jetzt mit den v6 in der Map ALLOW_IN zusammengefasst !)
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6
!
class-map type inspect match-any ICMPv6
match access-group name ICMPv6
!
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
!
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map ALLOW_IN
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect ICMPv6
description Traffic ICMPv6 to LAN
class type inspect ICMPv6
inspect
class class-default
drop
policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internet zum Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
!
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
zone-pair security ICMPv6 source INTERNET destination GAST
service-policy type inspect ICMPv6
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
ip access-list extended ALLOWv4
10 permit udp any any eq isakmp
20 permit udp any any eq non500-isakmp
30 permit esp any any
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
Nach diesen Korrekturen wäre dann soweit alles fehlerfrei.
oder macht man das nicht wegen der ZFW?
Die ZFW ist eine vollständige SPI Firewall mit ALG und da du sie jetzt ja auch aktiv hast ist logischerweise auch SPI aktiv. Simple Logik ! Hier solltest du dringenst einmal dein Firewall KnowHow etwas verbessern.Was genau prüft die ZFW und was nicht?
Siehst du doch oben SELBER mit was du die Class Maps definiert hast !!! Lokal prüft sie mit "match protocol" http, https, dns, pop3s, imaps smtp, sip, sip-tls, rtsp, ftp, ftps, ssh und ntp per ALG. Was nicht diesen Protokollen entspricht wird über die globale TCP und UDP Inspection geprüft und zusätzlich ebenso ICMP.Also einfach mal selber auf deine Konfig sehen, da steht doch alles !!
show policy-map type inspect zone-pair <Zone_paar_name> zeigt dir genau an WAS die Firewall inspiziert. Und alle inspizierten Sessions siehst du mit sh policy-map type inspect zone-pair sessions !
Dort sollten die Counter nicht mehr auf "0" stehen wie oben !
weil sie zwischen der sh run ausgabe auch erschienen und ich deshalb dieses mitkopieren würde.
Nutze eine Telnet oder SSH Session aus dem lokalen LAN mit [ PuTTY] und aktiviere NICHT term mon. Dann werden die Log Messages unterdrückt. Auf der seriellen Konsole siehst du sie immer. Es sei denn du schaltest sie in der Konfig mit no logging console aus bzw. deaktivierst sie damit.Siehe dazu: https://blog.router-switch.com/2013/12/configure-logging-in-cisco-ios/
Kann man die Einstellungen ich sage mal hochschrauben so wie bei einer normalen Firewall
Was ist für dich eine normale Firewallich möchte wissen welche Ports oder welche Protokolle nicht oder zu wenig geprüft werden.
Du musst dich mit den Protokollen befassen und dir überlegen, was du wie "sichern" willst.Ich sage, dass eine normale SPI-Firewall gegen Angriffe von außen meist ausreicht.
Zitat von @mariocisco:
Spi prüft doch auf verdächten Verkehr oder?Ok, du hast davon keine Ahnung, willst aber eine Firewall einrichten.
Ist ungefähr so, wie wenn du bei deiner ersten Fahrstunde gleich ein Autorennen fährst.
Wird in die Hose gehen.
Befasse dich mit Stateful package inspection und frage dann hier erneut, sonst hat das einfach keinen Sinn.
https://de.wikipedia.org/wiki/Stateful_Packet_Inspection
Lesen und verstehen !!! 😉
Lesen und verstehen !!! 😉
Den Terminus "dynamische Firewall" entspringt sicher deiner Phantasie, denn so einen Ausdruck gibt es in der Netzwerkwelt nicht.
Da muss man also nichts ergänzen.
Sie ist eine klassische Firewall vor dem Router wie es immer in millionenfachen Netzwerk Designs weltweit eingesetzt ist. Nur eben das diese Firewall kein separates externes Gerät ist sondern schlicht und einfach gleich in den Router zusätzlich mit eingebaut wurde. Quasi also 2 Geräte in einem.
Wenn du die sauber konfiguriert hast ist das also gut und mehr muss man dann auch nicht machen. 2 Firewalls wären ja auch Blödsinn. Du hast dann eine laufende SPI Firewall in deinem Netz und das damit perfekt und sicher geschützt. Punkt...
Was du jetzt mit deinem wirren "Ansätzen" und "wie ich weiter vorgehe..." meinst versteht keiner der Administratoren hier. Was genau willst du damit sagen und WO ist denn jetzt da noch ein Problem für dich ? Du hast ein lokales Netz, einen Router und eine wasserdichte Firewall davor mit der ZFW. Braucht man denn noch mehr in einem Netzwerk ?
Bzw. man kann dir nur so auf die Frage antworten: Du gehst dir einen Kaffee holen, entspannst dich, lehnst dich zurück und siehst deiner Firewall beim arbeiten zu !
Das wäre jetzt die weitere korrekte Vorgehensweise für dich !!!
Bzw. den Thread zu schliessen natürlich nicht zu vergessen: Wie kann ich einen Beitrag als gelöst markieren?
Wie habt ihr denn eure SPI Firewall aufgebaut?
Ganz genau so wie du oben. Um es für dich nochmal zu wiederholen: Die ZFW ist eine vollständige SPI Firewall !Da muss man also nichts ergänzen.
Sie ist eine klassische Firewall vor dem Router wie es immer in millionenfachen Netzwerk Designs weltweit eingesetzt ist. Nur eben das diese Firewall kein separates externes Gerät ist sondern schlicht und einfach gleich in den Router zusätzlich mit eingebaut wurde. Quasi also 2 Geräte in einem.
Wenn du die sauber konfiguriert hast ist das also gut und mehr muss man dann auch nicht machen. 2 Firewalls wären ja auch Blödsinn. Du hast dann eine laufende SPI Firewall in deinem Netz und das damit perfekt und sicher geschützt. Punkt...
Was du jetzt mit deinem wirren "Ansätzen" und "wie ich weiter vorgehe..." meinst versteht keiner der Administratoren hier. Was genau willst du damit sagen und WO ist denn jetzt da noch ein Problem für dich ? Du hast ein lokales Netz, einen Router und eine wasserdichte Firewall davor mit der ZFW. Braucht man denn noch mehr in einem Netzwerk ?
Bzw. man kann dir nur so auf die Frage antworten: Du gehst dir einen Kaffee holen, entspannst dich, lehnst dich zurück und siehst deiner Firewall beim arbeiten zu !
Das wäre jetzt die weitere korrekte Vorgehensweise für dich !!!
Bzw. den Thread zu schliessen natürlich nicht zu vergessen: Wie kann ich einen Beitrag als gelöst markieren?
und sage danke.
Immer gerne ! Nichts zu danken ! 😊HIER findest du nochmal alle wichtigen Infos von Cisco zur ZFW Firewall:
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/98628-z ...