51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何在Cisco IOS中配置IPv6防火墙?

作者:佚名
网络
本文将与大家分享如何在IPv4向IPv6过渡期间,调整Cisco IOS中的防火墙配置。其实这并不像想象中那么难办。

随着IPv4地址的枯竭,IPv4地址将成为历史,取而代之的将是IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得犹豫不决,可能是觉得这是个全新的领域,迁移起来会很麻烦。但实际工作,比如防火墙服务的调整,并没有大家想象的那么难。Cisco IOS可以支持多种防火墙配置方式。比如你的设备有以下几个静态
 

  1. access-list:  
  2.   access-list 101 permit tcp any host 10.1.1.1 eq www  
  3.  
  4.   access-list 101 permit tcp any host 10.1.1.1 eq ftp  
  5.  
  6.   access-list 101 permit tcp any host 10.1.1.1 eq 22  
  7.  
  8.   在 IPv6 路由器中,access-list配置也同样存在,只不过像有了扩展名的access-list。  
  9.  
  10.   IPv6访问列表范例:  
  11.  
  12.   permit tcp any host 2001:DB9:2:3::3 eq www sequence 10  
  13.  
  14.   permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20  
  15.  
  16.   permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30  
  17.  
  18.   permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40  
  19.  
  20.   使用ip traffic-filter命令控制端口要比我们习惯的ip access-group 命令使用起来更简单明了。  
  21.  
  22.   IOS中的Reflexive Access-list:  
  23.  
  24.   interface Ethernet0/1  
  25.  
  26.   ip address 172.16.1.2 255.255.255.0  
  27.  
  28.   ip access-group inboundfilter in  
  29.  
  30.   ip access-group outboundfilter out  
  31.  
  32.   ip access-list extended inboundfilter  
  33.  
  34.   permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255  
  35.  
  36.   evaluate tcptraffic  
  37.  
  38.   ip access-list extended outboundfilter  
  39.  
  40.   permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255  
  41.  
  42.   permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic  
  43.  
  44.   同样需要配置reflexive access-lists的IPv6模式,操作差别不大:  
  45.  
  46.   interface Ethernet0/1  
  47.  
  48.   ipv6 address 2001:db9:1::1/64  
  49.  
  50.   ipv6 traffic-filter inboundfilter in  
  51.  
  52.   ipv6 traffic-filter outboundfilter out  
  53.  
  54.   ipv6 access-list inboundfilter  
  55.  
  56.   permit icmp host 2001:db8:1::F host 2001:db9:2::2  
  57.  
  58.   evaluate tcptraffic  
  59.  
  60.   ipv6 access-list outboundfilter  
  61.  
  62.   permit tcp any any reflect tcptraffic  
  63.  
  64.   Permit icmp any any  
  65.  
  66.   基于内容的访问控制 (CBAC)也被称作IOS防火墙。  
  67.  
  68.   在 IPv4 环境下,这个防火墙看起来是下面这样:  
  69.  
  70.   ip inspect name FW tcp  
  71.  
  72.   !  
  73.  
  74.   interface Ethernet0  
  75.  
  76.   ip address 10.10.10.2 255.255.255.0  
  77.  
  78.   ip access-group 101 in  
  79.  
  80.   ip inspect FW in  
  81.  
  82.   !  
  83.  
  84.   interface Serial0.1 point-to-point  
  85.  
  86.   ip address 10.10.11.2 255.255.255.252  
  87.  
  88.   ip access-group 102 in  
  89.  
  90.   frame-relay interface-dlci 200 IETF  
  91.  
  92.   !  
  93.  
  94.   在 IPv6环境,基本没什么变化:  
  95.  
  96.   ip inspect name FW tcp  
  97.  
  98.   !  
  99.  
  100.   interface Ethernet0  
  101.  
  102.   ipv6 address 2001:db9:1::1/64  
  103.  
  104.   ipv6 traffic-filter inboundfilter in  
  105.  
  106.   ip inspect FW in  
  107.  
  108.   !  
  109.  
  110.   interface Serial0.1 point-to-point  
  111.  
  112.   ipv6 address 2001:db9:2::A/64  
  113.  
  114.   ipv6 traffic-filter outboundfilter in  
  115.  
  116.   frame-relay interface-dlci 200 IETF  
  117.  
  118.   !  
  119.  
  120.   另外还有Zone-Based防火墙,在IPv4和IPv6环境都是这样:  
  121.  
  122.   class-map type inspect match-any MYPROTOS  
  123.  
  124.   match protocol tcp  
  125.  
  126.   match protocol udp  
  127.  
  128.   match protocol icmp  
  129.  
  130.   !  
  131.  
  132.   policy-map type inspect OUTBOUND  
  133.  
  134.   class type inspect MYPROTOS  
  135.  
  136.   inspect  
  137.  
  138.   !  
  139.  
  140.   zone security inside  
  141.  
  142.   zone security outside  
  143.  
  144.   !  
  145.  
  146.   zone-pair security IN>OUT source inside destination outside  
  147.  
  148.   service-policy type inspect OUTBOUND  
  149.  
  150.   !  
  151.  
  152.   interface fastethernet0/0  
  153.  
  154.   zone-member security private  
  155.  
  156.   !  
  157.  
  158.   interface fastethernet0/1  
  159.  
  160.   zone-member security public  
  161.  
  162.   !  
  163.  
  164.  
  165. TechTarget中国原创内容,原文链接:http://www.searchnetworking.com.cn/showcontent_53322.htm 

通过上述策略,你可以将IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不属于三层协议,因此防火墙服务不会受到影响。

总之,上面是个很简单的例子,主要就是为了说明一件事,即在Cisco IOS设备上配置防火墙不论是IPv4还是IPv6,差别都不太大。所以,大家现在就可以开始考虑让自己企业的网络能够支持双协议,同时让防火墙正常工作。
 

【编辑推荐】

  1. 我国IPv6大规模商用驱动力不够 发展面临挑战
  2. 深信服和您一起解析防火墙的前世今生
  3. IPv6地址规划方法
  4. A10网络公司发布ACOS2.6.4版本支持IPv6 迁移
  5. 飞鱼星推出VR470G全千兆多WAN防火墙路由器
责任编辑:Writer 来源: tt网络
IPv6防火墙
相关推荐
IPv6防火墙对安全的影响
IPv6头信息链结构的灵活性优于IPv4,因为它不限制数据包可以包含的数量,然而,这种灵活性也是有代价的。

2012-02-07 17:18:13

Cisco IOS防火墙:CBAC简单配置
对于路由器IOS的防火墙配置,我们要怎样去操作呢?CBAC的配置要进行哪些命令行输入呢?下面文章将给予你详细的介绍。

2010-08-05 14:22:35

路由器IPv6IPv4防火墙差别
防火墙对于一个网格的作用就不用多说了,网络的第一道防线就是防火墙,它用于防御公共互联网攻击,限制本地用户的公共互联网访问,随着IPv6的出现,对防火墙有了新的要求,虽然IPv6和IPv4各自提供的服务非常相似,但是这两种协议之间存在一些细微差别,这对防火墙设备和操作会影响很大。

2013-01-30 09:48:11

Cisco IOS防火墙的安全配置方案
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标,本文给大家详细的介绍了对于CISCO的防火墙的安全配置方案。

2010-08-13 13:40:34

IPv6防火墙安全:新协议带来的问题
本文介绍了IPv6的头结构和IPv6防火墙对安全的影响。

2011-11-23 14:46:12

如何在vSphere 5配置ESXi防火墙
ESXi5防火墙是VMwarevSphere5一个新特性,可以通过vSphereClient或命令行配置。ESXi5防火墙以前只存在于刚刚停止使用的ESXhypervisor中。VMware曾经声称ESXi不需要防火墙,因为轻量级hypervisor几乎不会开启任何服务或端口,这样不会被攻击。

2011-07-19 10:06:16

思科路由器上配置Cisco IOS防火墙
路由器是我们常用到的网络设备,我们在使用的时候要进行哪些配置才能使IOS防火墙起效呢?具体要进行哪些操作呢?下面文章将给予你详细介绍。

2010-08-10 10:05:29

思科路由器配置防火墙
如何在Ubuntu中用UFW配置防火墙
UFW,即简单防火墙(uncomplicatedfirewall),是一个ArchLinux、Debian或Ubuntu中管理防火墙规则的前端。UFW通过命令行使用(尽管它有可用的GUI),它的目的是使防火墙配置简单(即不复杂(uncomplicated))。

2017-01-05 15:15:59

UFWUbuntu配置防火墙
恢复与升级CISCO ASA防火墙IOS
作为安全产品的知名企业CISCO防火墙受到广大的企业认可,那么对于企业用户来说不小心将防火墙的IOS删除是很有可能发生的一件事,本篇文章就通过实例简述CISCOASA防火墙IOS的恢复与升级。

2010-09-25 16:34:30

CISCO ASA
使用cisco pix 防火墙
本文主要对思科PIX的防火墙怎样的配置进行了详细的说明与讲解,同时给予用户具体的操作步骤以及实现命令。

2010-08-03 09:39:45

路由器
IPv6普及尚早,如何在Ubuntu系统禁用IPv6协议
Internet协议版本6(IPv6)是Internet协议(IP)的最新版本,IP协议是为网络上的计算机提供标识和定位的系统,并会通过互联网路由流量。IPv6于1998年开发,并用于取代IPv4协议。

2019-06-28 15:25:05

IPv6协议Ubuntu
Cisco IOS防火墙,多功能安全产品
思科路由器的IOS提供了很多的安全产品,但是要进行怎样的具体实现和应用呢?下面将给予详细讲解。

2010-08-03 09:32:32

中国正在制定IPv4向IPv6过渡期防火墙行业标准
中国正在制定双栈防火墙设备技术要求的行业标准,该标准是中国首个对IPv4向IPv6过渡中的防火墙设备的技术规范标准。中国移动牵头、华为参与起草的该标准还在制定过程中,预计2013年完成。

2012-06-14 10:59:47

如何进行CISCO PIX防火墙网络安全配置
CISCOPIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。

2010-09-14 09:44:06

Cisco出了Web应用防火墙
CiscoACEWeb应用防火墙是思科应用控制引擎(ACE)产品系列中的最新成员。

2010-07-12 11:33:52

实例展示通过Cisco ASA防火墙配置WebVPN
目前市场上VPN产品很多,而且技术各异,就比如传统的IPSecVPN来讲,SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSLVPN作为远程安全接入技术,主要看重的是其接入控制功能。

2010-09-25 16:46:28

正确对Cisco PIX防火墙进行配置步骤
我们今天主要向大家描述的是正确配置CiscoPIX防火墙的实际操作流程,以下就是对配置CiscoPIX防火墙的实际操作流程的详细解析。

2010-09-14 10:30:55

Cisco PIX防火
如何在Linux环境关闭IPv6
由于现有网络还处于IPv4网络,开启IPv6有时反而会影响网络性能,本文教给大家在Linux下关闭IPv6的方法。

2010-05-31 09:58:57

关闭IPv6
如何Cisco防火墙启动密钥更安全
Cisco防火墙启动密钥更改主要有三种方式。根据其版本的不同,略有所不同。在6.2版本以前的防火墙中,若要对启动密钥进行更改或者升级,则需要在监控模式下更改。在6.2以后的防火墙中,思科引入了一些更加安全的解决方案,即远程升级或者更改防火墙的许可证。

2009-07-09 23:01:02

Cisco启动密钥
“云”火墙Cisco防火墙能够与众不同
两年前,美国超级计算机中心安全技术部门的计算机安全经理AbeSinger表示,防火墙有一个“可怕的真相”:防火墙有性能问题,容易因为一连串的故障而受到攻击,修改网络一个地方的规则会在网络的另一个地方造成安全漏洞。

2009-09-25 11:25:39

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服