科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换如何在IPv6环境配置Cisco IOS防火墙

如何在IPv6环境配置Cisco IOS防火墙

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将与大家分享如何在IPv4向IPv6过渡期间,调整Cisco IOS中的防火墙配置。其实这并不像想象中那么难办。

来源:ZDNET网络频道【原创】 2011年9月26日

关键字: IPv6 CISCO 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  ZDNET至顶网网络频道 9月26日 编译:随着IPv4地址的枯竭,IPv4地址将成为历史,取而代之的将是IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得犹豫不决,可能是觉得这是个全新的领域,迁移起来会很麻烦。但实际工作,比如防火墙服务的调整,并没有大家想象的那么难。Cisco IOS可以支持多种防火墙配置方式。比如你的设备有以下几个静态access-list:

  access-list 101 permit tcp any host 10.1.1.1 eq www

  access-list 101 permit tcp any host 10.1.1.1 eq ftp

  access-list 101 permit tcp any host 10.1.1.1 eq 22

  在 IPv6 路由器中,access-list配置也同样存在,只不过像有了扩展名的access-list。

  IPv6访问列表范例:

  permit tcp any host 2001:DB9:2:3::3 eq www sequence 10

  permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20

  permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30

  permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40

  使用ip traffic-filter命令控制端口要比我们习惯的ip access-group 命令使用起来更简单明了。

  IOS中的Reflexive Access-list:

  interface Ethernet0/1

  ip address 172.16.1.2 255.255.255.0

  ip access-group inboundfilter in

  ip access-group outboundfilter out

  ip access-list extended inboundfilter

  permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

  evaluate tcptraffic

  ip access-list extended outboundfilter

  permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

  permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

  同样需要配置reflexive access-lists的IPv6模式,操作差别不大:

  interface Ethernet0/1

  ipv6 address 2001:db9:1::1/64

  ipv6 traffic-filter inboundfilter in

  ipv6 traffic-filter outboundfilter out

  ipv6 access-list inboundfilter

  permit icmp host 2001:db8:1::F host 2001:db9:2::2

  evaluate tcptraffic

  ipv6 access-list outboundfilter

  permit tcp any any reflect tcptraffic

  Permit icmp any any

  基于内容的访问控制 (CBAC)也被称作IOS防火墙。

  在 IPv4 环境下,这个防火墙看起来是下面这样:

  ip inspect name FW tcp

  !

  interface Ethernet0

  ip address 10.10.10.2 255.255.255.0

  ip access-group 101 in

  ip inspect FW in

  !

  interface Serial0.1 point-to-point

  ip address 10.10.11.2 255.255.255.252

  ip access-group 102 in

  frame-relay interface-dlci 200 IETF

  !

  在 IPv6环境,基本没什么变化:

  ip inspect name FW tcp

  !

  interface Ethernet0

  ipv6 address 2001:db9:1::1/64

  ipv6 traffic-filter inboundfilter in

  ip inspect FW in

  !

  interface Serial0.1 point-to-point

  ipv6 address 2001:db9:2::A/64

  ipv6 traffic-filter outboundfilter in

  frame-relay interface-dlci 200 IETF

  !

  另外还有Zone-Based防火墙,在IPv4和IPv6环境都是这样:

  class-map type inspect match-any MYPROTOS

  match protocol tcp

  match protocol udp

  match protocol icmp

  !

  policy-map type inspect OUTBOUND

  class type inspect MYPROTOS

  inspect

  !

  zone security inside

  zone security outside

  !

  zone-pair security IN>OUT source inside destination outside

  service-policy type inspect OUTBOUND

  !

  interface fastethernet0/0

  zone-member security private

  !

  interface fastethernet0/1

  zone-member security public

  !

  通过上述策略,你可以将IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不属于三层协议,因此防火墙服务不会受到影响。

  总之,上面是个很简单的例子,主要就是为了说明一件事,即在Cisco IOS设备上配置防火墙不论是IPv4还是IPv6,差别都不太大。所以,大家现在就可以开始考虑让自己企业的网络能够支持双协议,同时让防火墙正常工作。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章