In die IOS-Version 12.4.(6)T wurde eine neue M\u00f6glichkeit der Firewall-Konfiguration eingebaut, die Zonen-basierte Konfiguration. Diese Konfiguration erinnert dabei mehr an die Konfiguration der PIXv7 und ist auch angelehnt an die QoS-Konfiguration im IOS.<\/p>\n
Funktion dieses Features:<\/strong><\/p>\n Alle beteiligten Interfaces werden den konfigurierten Zoenen zugewiesen. Wenn mehrere Interfaces in einer Zone sind kann zwischen diesen Netzen ohne Einschr\u00e4nkung kommuniziert werden. Traffic zwsichen unterschiedlichen Zonen ist standardm\u00e4\u00dfig verboten und mu\u00df explizit erlaubt werden.<\/p>\n Der Beispiel-Router:<\/strong><\/p>\n F\u00fcr dieses recht einfache Beispiel habe ich einen Cisco 1802W verwendet, der zwei interne Interfaces (Vlan1, Dot11Radio0) und ein externes Interface zum Internet (Dialer0) hat.<\/p>\n Die Anforderung:<\/strong><\/p>\n Zwischen den zwei internen Interfacen soll frei kommuniziert werden k\u00f6nnen, der gesamte Traffic ins Internet soll per statefull Inspection \u00fcberpr\u00fcft werden, kein Traffic soll vom Internet in das interne LAN gelassen werden. Im letzten Schritt wird noch ein WAN-Interface hinzugef\u00fcgt.<\/p>\n Die Konfiguration:<\/strong><\/p>\n Anlegen der Zonen. In diesem Beispiel werden zwei Zonen ben\u00f6tigt, Intern<\/em> und Extern<\/em>:<\/p>\n Die Interface werden in einem sp\u00e4teren Schritt den Zonen zugewiesen.<\/p>\n Die Zonen, die miteinander kommunizieren sollen werden zu Zonen-Paaren verbunden. Es m\u00fcssen immer nur Zonen-Paare f\u00fcr die initiierenden Verbindungen konfiguriert werden, der R\u00fcckweg wird von der Statefull Inspection<\/em> automatisch erlaubt<\/p>\n Hierbei wurde also ein Zonenpaar konfiguriert, bei dem der Traffic in der Zone Intern<\/em> initiiert wird und in die Zone Extern<\/em> gesendet wird. Man sieht auch, da\u00df die einzige Funktion im Zonen-Paar eine Service-Policy ist, diese mu\u00df aber sp\u00e4ter erst noch konfiguriert werden.<\/p>\n Als n\u00e4chstes wird bestimmt welche Interfaces zu welcher Zone geh\u00f6ren:<\/p>\n Die Interfaces Vlan1 und Dot11Radio0 geh\u00f6ren jetzt also zu einer gemeinsamen Zone und sollten miteinander kommunizieren k\u00f6nnen:<\/p>\n Der PC 10.255.255.131 steht im Netz Vlan1, der PC 10.255.254.151 im wireless LAN hinter dem Interface Dot11Radio0. Die PCs k\u00f6nnen sich also erreichen.<\/p>\n Von Intern nach Extern soll nat\u00fcrlich auch kommuniziert werden k\u00f6nnen:<\/p>\n Erwartungsgem\u00e4\u00df geht das noch nicht, da Traffic zwischen den Zonen exlizit erlaubt werden mu\u00df. Daf\u00fcr wird also eine Policy geschrieben. Bei dieser darf das Netz 10.255.252.0\/22 auf das Internet zugreifen. Dieses Netz wird in einer Class-Map vom Typ inspect <\/em>konfiguriert; die f\u00fcr die Firewall-Konfiguration neu eingef\u00fchrt wurden:<\/p>\n \u00c4hnlich wie im MQC (Modular QoS CLI) wird diese Klasse in einer Policy-Map verwendet und mit einer Funktion versehen. Auch diese Policy-Map ist vom Typ inspect<\/em>:<\/p>\n Im letzten Punkt ist zu sehen was mit dem in der Class-Map beschriebenen Traffic gemacht werden kann:<\/p>\n F\u00fcr dieses Beispiel soll der Traffic einfach inspiziert werden:<\/p>\n Diese Service-Policy wird jetzt in dem konfigurierten Zonen-Paar verwendet:<\/p>\n Die erzeugte Konfiguration sieht jetzt folgenderma\u00dfen aus:<\/p>\n Ein paar show-Befehle um die Konfiguration zu analysieren:<\/p>\n Ein Test der Verbindung ins Internet:<\/p>\n Jetzt kann aus der internen Zone in die externe Zone kommuniziert werden, die Antwortpakete kommen dank statefull Inspection zur\u00fcck.<\/p>\n Nat\u00fcrlich kann man sich auch anschauen was die Firewall so gemacht hat (davor habe ich noch ein wenig mehr Traffic erzeugt):<\/p>\n Testweise soll der Router aus dem Internet heraus angesprochen werden:<\/p>\n Man sieht, da\u00df der Router vom Internet aus erreichbar ist. Die bisherigen Konfiguration bezog sich nur auf Traffic, der zwischen den Zonen l\u00e4uft, und auf dem externen Interface (Dialer0) befindet sich keine ACL:<\/p>\n ACLs werden in dieser Konfiguration vor dem inter-Zonen-Traffic verarbeitet, daher k\u00f6nnen ACLs nicht mehr wie beim “ip inspect” angewendet werden. F\u00fcr die Kontrolle des Traffics vom oder zum Router gibt es die Zone “self”, f\u00fcr die auch Policies konfiguriert werden k\u00f6nnen.<\/p>\n In der Access-List wird der Traffic f\u00fcr IPSec-VPNs und SSH erlaubt. Diese ACL wird in eine Class-Map eingebunden, diese wird widerum in einer Policy-Map eingebunden. Wie vorher auch schon wird die Policy-Map also Service-Policy auf ein Zonen-Paar angewendet:<\/p>\n Dieses neue Zonen-Paar hat als Sourse die Zone Extern, die Destionation ist “self”, das ist der Router selbst.<\/p>\n Ein erneuter Ping-Test zeigt, da\u00df jetzt der Traffic nicht mehr von dem Router verarbeitet wird:<\/p>\n Bedingt durch diese Einschr\u00e4nkung werden Antwortpakete f\u00fcr Traffic, der vom Router selbst initiiert ist, auch verworfen. Wir ben\u00f6tigen also noch eine Policy, in der der Traffic vom Router ins Internet inspiziert wird um die Antwortpakete zu erlauben. Auch das geht wieder mit der Zone “self”, die diesmal aber als Source auftaucht:<\/p>\n Ein erneuter Test zeigt, da\u00df der ausgehende Ping jetzt funktioniert:<\/p>\n Und so sieht die gesamte Konfig jetzt aus:<\/p>\n Jetzt soll die Konfig noch um ein WAN-Interface erweitert werden. Vom internen LAN zum WAN soll der gesamte Traffic erlaubt und inspiziert werden, aus dem WAN ins interne LAN nur ICMP, HTTP(S) und HTTP zum Cisco Secure ACS:<\/p>\n Die zus\u00e4tzliche Zone:<\/p>\n Die Class-Map und ACL f\u00fcr den ACS-Traffic:<\/p>\n Die Policy-Map:<\/p>\n Die Zonen-Paare:<\/p>\n Insgesammt ist diese Art der Konfiguration sehr leistungsf\u00e4hig. In diesem Beispiel war die Konfiguration dabei noch recht \u00fcbersichtlich, da die Inspections sehr allgemein gehalten waren. In einem sp\u00e4teren Beispiel werde ich das nochmal verfeinern. Weiterhin sollte eine EasyVPN-Config auf virtuelle Tunnel-Interface umgestellt werden, damit diese auch einer Zone hinzugef\u00fcgt werden k\u00f6nnen. In die IOS-Version 12.4.(6)T wurde eine neue M\u00f6glichkeit der Firewall-Konfiguration eingebaut, die Zonen-basierte Konfiguration.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5,7],"tags":[245,307,358],"class_list":["post-88","post","type-post","status-publish","format-standard","hentry","category-cisco","category-cisco-security","tag-firewall","tag-ios","tag-konfiguration"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/88","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=88"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/88\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=88"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=88"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=88"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\nKI-R#sh ver\nCisco IOS Software, C180X Software (C180X-ADVIPSERVICESK9-M), Version 12.4(9)T<\/code><\/pre>\n\nKI-R(config)#zone ?\n security Security zone\n\nKI-R(config)#zone security ?\n WORD Name of security zone\n\nKI-R(config)#zone security Extern\nKI-R(config-sec-zone)#?\nZone configuration commands:\n description Zone description\n exit Exit from zone configuration mode\n no Negate or set default values of a command\n\nKI-R(config-sec-zone)#description All Interfaces facing to the Internet\nKI-R(config-sec-zone)#zone security Intern\nKI-R(config-sec-zone)#description All Interfaces facing to the internal LAN\nKI-R(config-sec-zone)#exit<\/code><\/pre>\n\nKI-R(config)#zone-pair ?\n security Zone-pair name\n\nKI-R(config)#zone-pair security ?\n WORD Name of zone-pair\n\nKI-R(config)#zone-pair security Intern-Extern ?\n source Source zone\nKI-R(config)#zone-pair security Intern-Extern source ?\n WORD Name of source zone\n self Self zone\n\nKI-R(config)#zone-pair security Intern-Extern source Intern ?\n destination Destination zone\n\nKI-R(config)#zone-pair security Intern-Extern source Intern destination Extern\nKI-R(config-sec-zone-pair)#?\n Zone configuration commands:\n description Zone description\n exit Exit from zone pair configuration mode\n no Negate or set default values of a command\n service-policy Configure CBAC Service Policy\n\nKI-R(config-sec-zone-pair)#\nKI-R(config-sec-zone-pair)#description Access from internal LAN to Internet\nKI-R(config-sec-zone-pair)#exit<\/code><\/pre>\n\nKI-R(config)#interface vlan 1\nKI-R(config-if)#zone-member ?\n security Security zone\n\nKI-R(config-if)#zone-member security ?\n WORD Name of zone defined\n\nKI-R(config-if)#zone-member security Intern\nKI-R(config-if)#interface dot11Radio 0\nKI-R(config-if)#zone-member security Intern\nKI-R(config-if)#\nKI-R(config-if)#int dialer 0\nKI-R(config-if)#zone-member security Extern\n<\/code><\/pre>\n\nC:Documents and SettingsKarsten>ipconfig\n\nWindows IP Configuration\n\nEthernet adapter Local Area Connection 2:\n\nConnection-specific DNS Suffix . : iwen.local\nIP Address. . . . . . . . . . . . : 10.255.255.131\nSubnet Mask . . . . . . . . . . . : 255.255.255.0\nDefault Gateway . . . . . . . . . : 10.255.255.1\n\nC:Documents and SettingsKarsten>ping 10.255.254.151\n\nPinging 10.255.254.151 with 32 bytes of data:\n\nReply from 10.255.254.151: bytes=32 time=65ms TTL=127\nReply from 10.255.254.151: bytes=32 time=85ms TTL=127\nReply from 10.255.254.151: bytes=32 time=110ms TTL=127\nReply from 10.255.254.151: bytes=32 time=133ms TTL=127\n\nPing statistics for 10.255.254.151:\nPackets: Sent = 4, Received = 4, Lost = 0 (0% loss),\nApproximate round trip times in milli-seconds:\nMinimum = 65ms, Maximum = 133ms, Average = 98ms\n<\/code><\/pre>\n\nC:Documents and SettingsKarsten>ping 217.160.219.88\n\nPinging 217.160.219.88 with 32 bytes of data:\n\nRequest timed out.\nRequest timed out.\nRequest timed out.\nRequest timed out.\n\nPing statistics for 217.160.219.88:\nPackets: Sent = 4, Received = 0, Lost = 4 (100% loss),\n\nC:Documents and SettingsKarsten>\n<\/code><\/pre>\n\nKI-R(config)#ip access-list sta InternalNetworks\nKI-R(config-std-nacl)#permit 10.255.252.0 0.0.3.255\nKI-R(config-std-nacl)#exit\nKI-R(config)#class-map type inspect AnyInternalTraffic\nKI-R(config-cmap)#match access-group name InternalNetworks\nKI-R(config-cmap)#\nKI-R(config-cmap)#exit\n<\/code><\/pre>\n\nKI-R(config)#policy-map type inspect Intern-Extern\nKI-R(config-pmap)#?\n Policy-map configuration commands:\n class policy criteria\n description Policy-Map description\n exit Exit from policy-map configuration mode\n no Negate or set default values of a command\n rename Rename this policy-map\n\nKI-R(config-pmap)#class ?\n WORD class-map name\n class-default System default class matching otherwise unclassified packets\n type type of the class-map\n\nKI-R(config-pmap)#class type inspect AnyInternalTraffic\nKI-R(config-pmap-c)#?\n Policy-map class configuration commands:\n drop Drop the packet\n exit Exit from class action configuration mode\n inspect Context-based Access Control Engine\n no Negate or set default values of a command\n pass Pass the packet\n police Police\n service-policy Deep Packet Inspection Engine\n urlfilter URL Filtering Engine\n<\/code><\/pre>\n\n
\nKI-R(config-pmap-c)#inspect\n%No specific protocol configured in class AnyInternalTraffic for inspection.\nAll protocols will be inspected\n\nKI-R(config-pmap-c)#exit\nKI-R(config-pmap)#exit\nKI-R(config)#\n<\/code><\/pre>\n\nKI-R(config)#zone-pair security Intern-Extern\nKI-R(config-sec-zone-pair)#service-policy ?\n type Service Policy type\n\nKI-R(config-sec-zone-pair)#service-policy type ?\n inspect Configure CBAC Service Policy type inspect\n\nKI-R(config-sec-zone-pair)#service-policy type inspect ?\n WORD policy-map name\n\nKI-R(config-sec-zone-pair)#service-policy type inspect Intern-Extern\nKI-R(config-sec-zone-pair)#exit\nKI-R(config)#\n<\/code><\/pre>\n\n!\nclass-map type inspect match-all AnyInternalTraffic\n match access-group name InternalNetworks\n!\npolicy-map type inspect Intern-Extern\n class type inspect AnyInternalTraffic\n inspect\nclass class-default\n!\nzone security Intern\n description All Interfaces facing to the internal LAN\nzone security Extern\n description All Interfaces facing to the Internet\nzone-pair security Intern-Extern source Intern destination Extern\n description Access from internal LAN to Internet\n service-policy type inspect Intern-Extern\n!\ninterface Dot11Radio0\n zone-member security Intern\n!\ninterface Vlan1\n zone-member security Intern\n!\ninterface Dialer0\n zone-member security Extern\n!\nip access-list standard InternalNetworks\n permit 10.255.252.0 0.0.3.255\n<\/code><\/pre>\n\n
\nKI-R#show zone security\n zone self\n Description: System defined zone\n\nzone Intern\n Description: All Interfaces facing to the internal LAN\n Member Interfaces:\n Vlan1\n Dot11Radio0\n Virtual-Dot11Radio1\n\nzone Extern\n Description: All Interfaces facing to the Internet\n Member Interfaces:\n Dialer0\n\nKI-R#\n<\/code><\/pre>\n<\/li>\n\nKI-R#show zone-pair security\n Zone-pair name Intern-Extern\n Description: Access from internal LAN to Internet\n Source-Zone Intern Destination-Zone Extern\n service-policy Intern-Extern\n\nKI-R#\n<\/code><\/pre>\n<\/li>\n\nKI-R#show class-map type inspect\nClass Map type inspect match-all AnyInternalTraffic (id 5)\n Match access-group name InternalNetworks\n\nKI-R#\n<\/code><\/pre>\n<\/li>\n\nKI-R#show policy-map type inspect\n Policy Map type inspect Intern-Extern\n Class AnyInternalTraffic\n Inspect\n Class class-default\n\nKI-R#\n<\/code><\/pre>\n<\/li>\n<\/ul>\n\nC:Documents and SettingsKarsten>ping security-planet.de\n\nPinging security-planet.de [217.160.219.88] with 32 bytes of data:\n\nReply from 217.160.219.88: bytes=32 time=35ms TTL=54\nReply from 217.160.219.88: bytes=32 time=34ms TTL=54\nReply from 217.160.219.88: bytes=32 time=35ms TTL=54\nReply from 217.160.219.88: bytes=32 time=34ms TTL=54\n\nPing statistics for 217.160.219.88:\nPackets: Sent = 4, Received = 4, Lost = 0 (0% loss),\nApproximate round trip times in milli-seconds:\nMinimum = 34ms, Maximum = 35ms, Average = 34ms\n<\/code><\/pre>\n\nKI-R#show policy-map type inspect zone-pair\nZone-pair: Intern-Extern\n\nService-policy inspect : Intern-Extern\n\nClass-map: AnyInternalTraffic (match-all)\nMatch: access-group name InternalNetworks\nInspect\nPacket inspection statistics [process switch:fast switch]\ntcp packets: [54:679]\nudp packets: [46:154]\nicmp packets: [0:24]\nsmtp packets: [0:160]\ndns packets: [14:0]\n\nSession creations since subsystem startup or last reset 136\nCurrent session counts (estab\/half-open\/terminating) [1:0:0]\nMaxever session counts (estab\/half-open\/terminating) [37:25:1]\nLast session created 00:00:22\nLast statistic reset never\nLast session creation rate 2\nLast half-open session total 0\n\nClass-map: class-default (match-any)\nMatch: any\nDrop (default action)\n1407 packets, 45481 bytes\nKI-R#\n<\/code><\/pre>\n\nKI-R#sh ip int brief | i Dialer0\nDialer0 87.122.158.202 YES IPCP up up\n<\/code><\/pre>\n\nkarsten@urania:~$ ping 87.122.158.202\nPING 87.122.158.202 (87.122.158.202): 56 data bytes\n64 bytes from 87.122.158.202: icmp_seq=0 ttl=246 time=36.6 ms\n64 bytes from 87.122.158.202: icmp_seq=1 ttl=246 time=34.8 ms\n64 bytes from 87.122.158.202: icmp_seq=2 ttl=246 time=34.3 ms\n64 bytes from 87.122.158.202: icmp_seq=3 ttl=246 time=34.2 ms\n\n--- 87.122.158.202 ping statistics ---\n4 packets transmitted, 4 packets received, 0% packet loss\nround-trip min\/avg\/max = 34.2\/34.9\/36.6 ms\nkarsten@urania:~$\n<\/code><\/pre>\n\nKI-R#show ip access-lists interface dialer 0\n\nKI-R#\n<\/code><\/pre>\n\nKI-R(config)#ip access-list extended Extern2Router\nKI-R(config-ext-nacl)#permit esp any any\nKI-R(config-ext-nacl)#permit udp any any eq isakmp non500-isakmp\nKI-R(config-ext-nacl)#permit tcp any any eq 22\nKI-R(config-ext-nacl)#exit\nKI-R(config)#\n\nKI-R(config)#class-map type inspect RouterTraffic\nKI-R(config-cmap)#match access-group name Extern2Router\nKI-R(config-cmap)#exit\n\nKI-R(config)#policy-map type inspect RouterTraffic\nKI-R(config-pmap)#class type inspect RouterTraffic\nKI-R(config-pmap-c)#inspect\n<\/code><\/pre>\n\nKI-R(config)#zone-pair security Extern-Router source Extern destination self\nKI-R(config-sec-zone-pair)#service-policy type inspect RouterTraffic\nKI-R(config-sec-zone-pair)#\n<\/code><\/pre>\n\nkarsten@urania:~$ ping 87.122.158.202\nPING 87.122.158.202 (87.122.158.202): 56 data bytes\n\n--- 87.122.158.202 ping statistics ---\n6 packets transmitted, 0 packets received, 100% packet loss\nkarsten@urania:~$\n<\/code><\/pre>\n\nKI-R(config)#policy-map type inspect Router2Extern\nKI-R(config-pmap)#class class-default\nKI-R(config-pmap-c)#inspect\nKI-R(config-pmap-c)#exit\nKI-R(config-pmap)#exit\n\nKI-R(config)#zone-pair security Router-Extern source self destination Extern\nKI-R(config-sec-zone-pair)#service-policy type inspect Router2Extern\nKI-R(config-sec-zone-pair)#^Z\nKI-R#\n<\/code><\/pre>\n\nKI-R#ping 217.160.219.88\n\nType escape sequence to abort.\nSending 5, 100-byte ICMP Echos to 217.160.219.88, timeout is 2 seconds:\n!!!!!\nSuccess rate is 100 percent (5\/5), round-trip min\/avg\/max = 32\/34\/36 ms\nKI-R#\n<\/code><\/pre>\n\nclass-map type inspect match-all AnyInternalTraffic\n match access-group name InternalNetworks\nclass-map type inspect match-all RouterTraffic\n match access-group name RouterTraffic\n!\npolicy-map type inspect Router2Extern\n class class-default\n inspect\npolicy-map type inspect Intern-Extern\n class type inspect AnyInternalTraffic\n inspect\nclass class-default\npolicy-map type inspect RouterTraffic\n class type inspect RouterTraffic\n inspect\nclass class-default\n!\nzone security Intern\n description All Interfaces facing to the internal LAN\nzone security Extern\n description All Interfaces facing to the Internet\nzone-pair security Intern-Extern source Intern destination Extern\n description Access from internal LAN to Internet\n service-policy type inspect Intern-Extern\nzone-pair security Extern-Router source Extern destination self\n description Access from Internet to Router\n service-policy type inspect RouterTraffic\nzone-pair security Router-Extern source self destination Extern\n description Traffic from Router to Internet\n service-policy type inspect Router2Extern\n!\ninterface Dot11Radio0\n zone-member security Intern\n!\ninterface Vlan1\n zone-member security Intern\n!\ninterface Dialer0\n zone-member security Extern\n!\nip access-list standard InternalNetworks\n permit 10.255.252.0 0.0.3.255\nip access-list extended Extern2Router\n permit esp any any\n permit udp any any eq isakmp non500-isakmp\n permit tcp any any eq 22\n<\/code><\/pre>\n\nzone WAN\n Description: Interface to LAB ans SI\n Member Interfaces:\n Tunnel10\n<\/code><\/pre>\n\nclass-map type inspect match-all ICMP-Traffic\n match protocol icmp\nclass-map type inspect match-any HTTP-Traffic\n match protocol http\n match protocol https\n match access-group name ACS-Traffic\n\nip access-list extended ACS-Traffic\n permit tcp any host 10.255.255.12 eq 2002\n permit tcp any host 10.255.255.12 range 4444 4455\n<\/code><\/pre>\n\npolicy-map type inspect WAN2Intern\n class type inspect HTTP-Traffic\n inspect\n class type inspect ICMP-Traffic\n inspect\n class class-default\npolicy-map type inspect Intern2WAN\n class class-default\n inspect\n<\/code><\/pre>\n\nzone-pair security Internal2WAN source Intern destination WAN\n description Access internal Networks to WAN (Lab\/SI)\n service-policy type inspect Intern2WAN\nzone-pair security WAN2Intern source WAN destination Intern\n description Access from Lab\/SI to internal Network\n service-policy type inspect WAN2Intern\n<\/code><\/pre>\n
\nNoch nicht so leistungsf\u00e4hig wie beim “ip inspect” sind die debug-F\u00e4higkeiten. Da ist vermutlich etliches noch nicht fertig implementiert. Ich warte daher auf die n\u00e4chsten neuen T-Releases und hoffe, da\u00df dieses Feature weiter ausgebaut wird.<\/p>\n","protected":false},"excerpt":{"rendered":"