在Cisco IOS中配置IPv6防火墻案例教程

在Cisco IOS中配置IPv6防火墻案例教程

　　隨著IPv4地址的枯竭，IPv4地址將成為歷史，取而代之的將是IPv6地址。我發(fā)現(xiàn)很多企業(yè)的網(wǎng)管在向IPv6遷移的問題上都顯得猶豫不決，可能是覺得這是個(gè)全新的領(lǐng)域，遷移起來會(huì)很麻煩。但實(shí)際工作，比如防火墻服務(wù)的調(diào)整，并沒有大家想象的那么難。Cisco IOS可以支持多種防火墻配置方式。比如你的設(shè)備有以下幾個(gè)靜態(tài)

　　access-list:

　　access-list 101 permit tcp any host 10.1.1.1 eq www

　　access-list 101 permit tcp any host 10.1.1.1 eq ftp

　　access-list 101 permit tcp any host 10.1.1.1 eq 22

　　在 IPv6 路由器中，access-list配置也同樣存在，只不過像有了擴(kuò)展名的access-list。

　　IPv6訪問列表范例：

　　permit tcp any host 2001:DB9:2:3::3 eq www sequence 10

　　permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20

　　permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30

　　permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40

　　使用ip traffic-filter命令控制端口要比我們習(xí)慣的ip access-group 命令使用起來更簡(jiǎn)單明了。

　　IOS中的Reflexive Access-list:

　　interface Ethernet0/1

　　ip address 172.16.1.2 255.255.255.0

　　ip access-group inboundfilter in

　　ip access-group outboundfilter out

　　ip access-list extended inboundfilter

　　permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

　　evaluate tcptraffic

　　ip access-list extended outboundfilter

　　permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

　　permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

　　同樣需要配置reflexive access-lists的IPv6模式，操作差別不大：

　　interface Ethernet0/1

　　ipv6 address 2001:db9:1::1/64

　　ipv6 traffic-filter inboundfilter in

　　ipv6 traffic-filter outboundfilter out

　　ipv6 access-list inboundfilter

　　permit icmp host 2001:db8:1::F host 2001:db9:2::2

　　evaluate tcptraffic

　　ipv6 access-list outboundfilter

　　permit tcp any any reflect tcptraffic

　　Permit icmp any any

　　基于內(nèi)容的訪問控制 (CBAC)也被稱作IOS防火墻。

　　在 IPv4 環(huán)境下，這個(gè)防火墻看起來是下面這樣：

　　ip inspect name FW tcp

　　!

　　interface Ethernet0

　　ip address 10.10.10.2 255.255.255.0

　　ip access-group 101 in

　　ip inspect FW in

　　!

　　interface Serial0.1 point-to-point

　　ip address 10.10.11.2 255.255.255.252

　　ip access-group 102 in

　　frame-relay interface-dlci 200 IETF

　　!

　　在 IPv6環(huán)境，基本沒什么變化：

　　ip inspect name FW tcp

　　!

　　interface Ethernet0

　　ipv6 address 2001:db9:1::1/64

　　ipv6 traffic-filter inboundfilter in

　　ip inspect FW in

　　!

　　interface Serial0.1 point-to-point

　　ipv6 address 2001:db9:2::A/64

　　ipv6 traffic-filter outboundfilter in

　　frame-relay interface-dlci 200 IETF

　　!

　　另外還有Zone-Based防火墻，在IPv4和IPv6環(huán)境都是這樣：

　　class-map type inspect match-any MYPROTOS

　　match protocol tcp

　　match protocol udp

　　match protocol icmp

　　!

　　policy-map type inspect OUTBOUND

　　class type inspect MYPROTOS

　　inspect

　　!

　　zone security inside

　　zone security outside

　　!

　　zone-pair security IN>OUT source inside destination outside

　　service-policy type inspect OUTBOUND

　　!

　　interface fastethernet0/0

　　zone-member security private

　　!

　　interface fastethernet0/1

　　zone-member security public

　　!

　　通過上述策略，你可以將IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不屬于三層協(xié)議，因此防火墻服務(wù)不會(huì)受到影響。

　　總之，上面是個(gè)很簡(jiǎn)單的例子，主要就是為了說明一件事，即在Cisco IOS設(shè)備上配置防火墻不論是IPv4還是IPv6，差別都不太大。所以，大家現(xiàn)在就可以開始考慮讓自己企業(yè)的網(wǎng)絡(luò)能夠支持雙協(xié)議，同時(shí)讓防火墻正常工作。

【在Cisco IOS中配置IPv6防火墻案例教程】相關(guān)文章：

Cisco路由器安全配置命令10-27

cisco思科交換機(jī)配置篇08-01

Cisco路由器配置命令大全06-12

CISCO路由器CHAP認(rèn)證配置06-17

H3C防火墻2區(qū)域配置案例01-22

cisco路由器voip配置解析201610-16

Cisco路由器配置信息及口令的清除07-15

Cisco路由器安全配置命令有哪些08-01

cisco交換機(jī)安全配置設(shè)定命令大全06-05