在Cisco IOS中配置IPv6防火墙案例教程
随着IPv4地址的枯竭,IPv4地址将成为历史,取而代之的将是IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得犹豫不决,可能是觉得这是个全新的'领域,迁移起来会很麻烦。但实际工作,比如防火墙服务的调整,并没有大家想象的那么难。Cisco IOS可以支持多种防火墙配置方式。比如你的设备有以下几个静态
access-list:
access-list 101 permit tcp any host 10.1.1.1 eq www
access-list 101 permit tcp any host 10.1.1.1 eq ftp
access-list 101 permit tcp any host 10.1.1.1 eq 22
在 IPv6 路由器中,access-list配置也同样存在,只不过像有了扩展名的access-list。
IPv6访问列表范例:
permit tcp any host 2001:DB9:2:3::3 eq www sequence 10
permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20
permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30
permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40
使用ip traffic-filter命令控制端口要比我们习惯的ip access-group 命令使用起来更简单明了。
IOS中的Reflexive Access-list:
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilter in
ip access-group outboundfilter out
ip access-list extended inboundfilter
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic
ip access-list extended outboundfilter
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
同样需要配置reflexive access-lists的IPv6模式,操作差别不大:
interface Ethernet0/1
ipv6 address 2001:db9:1::1/64
ipv6 traffic-filter inboundfilter in
ipv6 traffic-filter outboundfilter out
ipv6 access-list inboundfilter
permit icmp host 2001:db8:1::F host 2001:db9:2::2
evaluate tcptraffic
ipv6 access-list outboundfilter
permit tcp any any reflect tcptraffic
Permit icmp any any
基于内容的访问控制 (CBAC)也被称作IOS防火墙。
在 IPv4 环境下,这个防火墙看起来是下面这样:
ip inspect name FW tcp
!
interface Ethernet0
ip address 10.10.10.2 255.255.255.0
ip access-group 101 in
ip inspect FW in
!
interface Serial0.1 point-to-point
ip address 10.10.11.2 255.255.255.252
ip access-group 102 in
frame-relay interface-dlci 200 IETF
!
在 IPv6环境,基本没什么变化:
ip inspect name FW tcp
!
interface Ethernet0
ipv6 address 2001:db9:1::1/64
ipv6 traffic-filter inboundfilter in
ip inspect FW in
!
interface Serial0.1 point-to-point
ipv6 address 2001:db9:2::A/64
ipv6 traffic-filter outboundfilter in
frame-relay interface-dlci 200 IETF
!
另外还有Zone-Based防火墙,在IPv4和IPv6环境都是这样:
class-map type inspect match-any MYPROTOS
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect OUTBOUND
class type inspect MYPROTOS
inspect
!
zone security inside
zone security outside
!
zone-pair security IN>OUT source inside destination outside
service-policy type inspect OUTBOUND
!
interface fastethernet0/0
zone-member security private
!
interface fastethernet0/1
zone-member security public
!
通过上述策略,你可以将IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不属于三层协议,因此防火墙服务不会受到影响。
总之,上面是个很简单的例子,主要就是为了说明一件事,即在Cisco IOS设备上配置防火墙不论是IPv4还是IPv6,差别都不太大。所以,大家现在就可以开始考虑让自己企业的网络能够支持双协议,同时让防火墙正常工作。
-
2016计算机二级试题及答案
2016计算机二级考试报名啦,正式进入备考阶段,本站小编为同学们带来最新计算机二级模拟试题及答案解析,希望对同学们复习计算机二级考试有所帮助!(1)下列关于栈和队列的描述中,正确的是()A)栈是先进先出B)队列是先进后出C)队列允许在队友删除元素D)栈在栈顶删除元素...
-
H3C虚拟园区网的解决方案
H3C虚拟园区网解决方案把整网的物理资源虚拟成多套逻辑资源,各群组用户根据预先的配置,只能使用相应的资源。下文本站为大家详细介绍H3C虚拟园区网解决方案,欢迎阅读!1虚拟园区网概述企业园区网作为企业网络的核心部分,连接了企业总部的办公、生产、研发、财务等多...
-
2017年计算机二级C语言模拟题及答案
1.1单选题1.下列变量名中,非法的是(C)。A.A25_car-str2.下列常量中,十六进制int型常量是(A)。A.0x5fB.x2aC.046D.7a3.下列常量中,不是字符常量的是(B)。A.'\n'B."y"C.'x'D.'\7'4.在函数体内定义了下述变量a,a的存储类为(D)。inta;A.寄存...
-
2017年全国计算机一级考试模拟试题及答案
全国计算机一级考试是全国计算机等级考试的一种。下面是2017年全国计算机一级考试模拟试题及答案。欢迎阅读。2017年全国计算机一级考试模拟试题及答案1.微机中1K字节表示的二进制位数是()。DA、1000B、8x1000C、1024D、8x10242.计算机硬件能直接识别和执行的...