如何在Cisco IOS中配置IPv6防火墙?

网络
本文将与大家分享如何在IPv4向IPv6过渡期间,调整Cisco IOS中的防火墙配置。其实这并不像想象中那么难办。

随着IPv4地址的枯竭,IPv4地址将成为历史,取而代之的将是IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得犹豫不决,可能是觉得这是个全新的领域,迁移起来会很麻烦。但实际工作,比如防火墙服务的调整,并没有大家想象的那么难。Cisco IOS可以支持多种防火墙配置方式。比如你的设备有以下几个静态
 

  1. access-list:  
  2.   access-list 101 permit tcp any host 10.1.1.1 eq www  
  3.  
  4.   access-list 101 permit tcp any host 10.1.1.1 eq ftp  
  5.  
  6.   access-list 101 permit tcp any host 10.1.1.1 eq 22  
  7.  
  8.   在 IPv6 路由器中,access-list配置也同样存在,只不过像有了扩展名的access-list。  
  9.  
  10.   IPv6访问列表范例:  
  11.  
  12.   permit tcp any host 2001:DB9:2:3::3 eq www sequence 10  
  13.  
  14.   permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20  
  15.  
  16.   permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30  
  17.  
  18.   permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40  
  19.  
  20.   使用ip traffic-filter命令控制端口要比我们习惯的ip access-group 命令使用起来更简单明了。  
  21.  
  22.   IOS中的Reflexive Access-list:  
  23.  
  24.   interface Ethernet0/1  
  25.  
  26.   ip address 172.16.1.2 255.255.255.0  
  27.  
  28.   ip access-group inboundfilter in  
  29.  
  30.   ip access-group outboundfilter out  
  31.  
  32.   ip access-list extended inboundfilter  
  33.  
  34.   permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255  
  35.  
  36.   evaluate tcptraffic  
  37.  
  38.   ip access-list extended outboundfilter  
  39.  
  40.   permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255  
  41.  
  42.   permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic  
  43.  
  44.   同样需要配置reflexive access-lists的IPv6模式,操作差别不大:  
  45.  
  46.   interface Ethernet0/1  
  47.  
  48.   ipv6 address 2001:db9:1::1/64  
  49.  
  50.   ipv6 traffic-filter inboundfilter in  
  51.  
  52.   ipv6 traffic-filter outboundfilter out  
  53.  
  54.   ipv6 access-list inboundfilter  
  55.  
  56.   permit icmp host 2001:db8:1::F host 2001:db9:2::2  
  57.  
  58.   evaluate tcptraffic  
  59.  
  60.   ipv6 access-list outboundfilter  
  61.  
  62.   permit tcp any any reflect tcptraffic  
  63.  
  64.   Permit icmp any any  
  65.  
  66.   基于内容的访问控制 (CBAC)也被称作IOS防火墙。  
  67.  
  68.   在 IPv4 环境下,这个防火墙看起来是下面这样:  
  69.  
  70.   ip inspect name FW tcp  
  71.  
  72.   !  
  73.  
  74.   interface Ethernet0  
  75.  
  76.   ip address 10.10.10.2 255.255.255.0  
  77.  
  78.   ip access-group 101 in  
  79.  
  80.   ip inspect FW in  
  81.  
  82.   !  
  83.  
  84.   interface Serial0.1 point-to-point  
  85.  
  86.   ip address 10.10.11.2 255.255.255.252  
  87.  
  88.   ip access-group 102 in  
  89.  
  90.   frame-relay interface-dlci 200 IETF  
  91.  
  92.   !  
  93.  
  94.   在 IPv6环境,基本没什么变化:  
  95.  
  96.   ip inspect name FW tcp  
  97.  
  98.   !  
  99.  
  100.   interface Ethernet0  
  101.  
  102.   ipv6 address 2001:db9:1::1/64  
  103.  
  104.   ipv6 traffic-filter inboundfilter in  
  105.  
  106.   ip inspect FW in  
  107.  
  108.   !  
  109.  
  110.   interface Serial0.1 point-to-point  
  111.  
  112.   ipv6 address 2001:db9:2::A/64  
  113.  
  114.   ipv6 traffic-filter outboundfilter in  
  115.  
  116.   frame-relay interface-dlci 200 IETF  
  117.  
  118.   !  
  119.  
  120.   另外还有Zone-Based防火墙,在IPv4和IPv6环境都是这样:  
  121.  
  122.   class-map type inspect match-any MYPROTOS  
  123.  
  124.   match protocol tcp  
  125.  
  126.   match protocol udp  
  127.  
  128.   match protocol icmp  
  129.  
  130.   !  
  131.  
  132.   policy-map type inspect OUTBOUND  
  133.  
  134.   class type inspect MYPROTOS  
  135.  
  136.   inspect  
  137.  
  138.   !  
  139.  
  140.   zone security inside  
  141.  
  142.   zone security outside  
  143.  
  144.   !  
  145.  
  146.   zone-pair security IN>OUT source inside destination outside  
  147.  
  148.   service-policy type inspect OUTBOUND  
  149.  
  150.   !  
  151.  
  152.   interface fastethernet0/0  
  153.  
  154.   zone-member security private  
  155.  
  156.   !  
  157.  
  158.   interface fastethernet0/1  
  159.  
  160.   zone-member security public  
  161.  
  162.   !  
  163.  
  164.  
  165. TechTarget中国原创内容,原文链接:http://www.searchnetworking.com.cn/showcontent_53322.htm 

通过上述策略,你可以将IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不属于三层协议,因此防火墙服务不会受到影响。

总之,上面是个很简单的例子,主要就是为了说明一件事,即在Cisco IOS设备上配置防火墙不论是IPv4还是IPv6,差别都不太大。所以,大家现在就可以开始考虑让自己企业的网络能够支持双协议,同时让防火墙正常工作。
 

【编辑推荐】

  1. 我国IPv6大规模商用驱动力不够 发展面临挑战
  2. 深信服和您一起解析防火墙的前世今生
  3. IPv6地址规划方法
  4. A10网络公司发布ACOS2.6.4版本支持IPv6 迁移
  5. 飞鱼星推出VR470G全千兆多WAN防火墙路由器
责任编辑:Writer 来源: tt网络
相关推荐

2012-02-07 17:18:13

2010-08-05 14:22:35

2013-01-30 09:48:11

2010-08-13 13:40:34

2011-11-23 14:46:12

2011-07-19 10:06:16

2010-08-10 10:05:29

思科路由器配置防火墙

2017-01-05 15:15:59

UFWUbuntu配置防火墙

2010-09-25 16:34:30

CISCO ASA

2010-08-03 09:39:45

路由器

2019-06-28 15:25:05

IPv6协议Ubuntu

2010-08-03 09:32:32

2010-09-14 09:44:06

2012-06-14 10:59:47

2010-09-25 16:46:28

2010-09-14 10:30:55

Cisco PIX防火

2010-07-12 11:33:52

2010-05-31 09:58:57

关闭IPv6

2009-07-09 23:01:02

Cisco启动密钥

2009-09-25 11:25:39

点赞
收藏

51CTO技术栈公众号