思科认证

在Cisco IOS中配置IPv6防火墙案例教程

时间:2024-07-14 07:16:36 思科认证 我要投稿
  • 相关推荐

在Cisco IOS中配置IPv6防火墙案例教程

  随着IPv4地址的枯竭,IPv4地址将成为历史,取而代之的将是IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得犹豫不决,可能是觉得这是个全新的领域,迁移起来会很麻烦。但实际工作,比如防火墙服务的调整,并没有大家想象的那么难。Cisco IOS可以支持多种防火墙配置方式。比如你的设备有以下几个静态

  access-list:

  access-list 101 permit tcp any host 10.1.1.1 eq www

  access-list 101 permit tcp any host 10.1.1.1 eq ftp

  access-list 101 permit tcp any host 10.1.1.1 eq 22

  在 IPv6 路由器中,access-list配置也同样存在,只不过像有了扩展名的access-list。

  IPv6访问列表范例:

  permit tcp any host 2001:DB9:2:3::3 eq www sequence 10

  permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20

  permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30

  permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40

  使用ip traffic-filter命令控制端口要比我们习惯的ip access-group 命令使用起来更简单明了。

  IOS中的Reflexive Access-list:

  interface Ethernet0/1

  ip address 172.16.1.2 255.255.255.0

  ip access-group inboundfilter in

  ip access-group outboundfilter out

  ip access-list extended inboundfilter

  permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

  evaluate tcptraffic

  ip access-list extended outboundfilter

  permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

  permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

  同样需要配置reflexive access-lists的IPv6模式,操作差别不大:

  interface Ethernet0/1

  ipv6 address 2001:db9:1::1/64

  ipv6 traffic-filter inboundfilter in

  ipv6 traffic-filter outboundfilter out

  ipv6 access-list inboundfilter

  permit icmp host 2001:db8:1::F host 2001:db9:2::2

  evaluate tcptraffic

  ipv6 access-list outboundfilter

  permit tcp any any reflect tcptraffic

  Permit icmp any any

  基于内容的访问控制 (CBAC)也被称作IOS防火墙。

  在 IPv4 环境下,这个防火墙看起来是下面这样:

  ip inspect name FW tcp

  !

  interface Ethernet0

  ip address 10.10.10.2 255.255.255.0

  ip access-group 101 in

  ip inspect FW in

  !

  interface Serial0.1 point-to-point

  ip address 10.10.11.2 255.255.255.252

  ip access-group 102 in

  frame-relay interface-dlci 200 IETF

  !

  在 IPv6环境,基本没什么变化:

  ip inspect name FW tcp

  !

  interface Ethernet0

  ipv6 address 2001:db9:1::1/64

  ipv6 traffic-filter inboundfilter in

  ip inspect FW in

  !

  interface Serial0.1 point-to-point

  ipv6 address 2001:db9:2::A/64

  ipv6 traffic-filter outboundfilter in

  frame-relay interface-dlci 200 IETF

  !

  另外还有Zone-Based防火墙,在IPv4和IPv6环境都是这样:

  class-map type inspect match-any MYPROTOS

  match protocol tcp

  match protocol udp

  match protocol icmp

  !

  policy-map type inspect OUTBOUND

  class type inspect MYPROTOS

  inspect

  !

  zone security inside

  zone security outside

  !

  zone-pair security IN>OUT source inside destination outside

  service-policy type inspect OUTBOUND

  !

  interface fastethernet0/0

  zone-member security private

  !

  interface fastethernet0/1

  zone-member security public

  !

  通过上述策略,你可以将IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不属于三层协议,因此防火墙服务不会受到影响。

  总之,上面是个很简单的例子,主要就是为了说明一件事,即在Cisco IOS设备上配置防火墙不论是IPv4还是IPv6,差别都不太大。所以,大家现在就可以开始考虑让自己企业的网络能够支持双协议,同时让防火墙正常工作。

【在Cisco IOS中配置IPv6防火墙案例教程】相关文章:

Cisco路由器ISDN配置教程07-16

Cisco路由器配置命令08-22

IPsecVPN配置教程08-18

H3C防火墙2区域配置案例08-07

cisco路由器voip配置解析201610-24

试谈cisco路由器口令和IOS恢复06-19

Cisco交换机配置主要语句汇总10-26

Cisco路由器如何配置实现VoIP08-13

思科ASA防火墙基本配置09-25

cisco交换机安全配置设定命令大全10-06