在Cisco IOS中配置IPv6防火牆案例教程
隨着IPv4地址的枯竭,IPv4地址將成爲歷史,取而代之的將是IPv6地址。我發現很多企業的'網管在向IPv6遷移的問題上都顯得猶豫不決,可能是覺得這是個全新的領域,遷移起來會很麻煩。但實際工作,比如防火牆服務的調整,並沒有大家想象的那麼難。Cisco IOS可以支持多種防火牆配置方式。比如你的設備有以下幾個靜態
access-list:
access-list 101 permit tcp any host eq www
access-list 101 permit tcp any host eq ftp
access-list 101 permit tcp any host eq 22
在 IPv6 路由器中,access-list配置也同樣存在,只不過像有了擴展名的access-list。
IPv6訪問列表範例:
permit tcp any host 2001:DB9:2:3::3 eq www sequence 10
permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20
permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30
permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40
使用ip traffic-filter命令控制端口要比我們習慣的ip access-group 命令使用起來更簡單明瞭。
IOS中的Reflexive Access-list:
interface Ethernet0/1
ip address
ip access-group inboundfilter in
ip access-group outboundfilter out
ip access-list extended inboundfilter
permit icmp
evaluate tcptraffic
ip access-list extended outboundfilter
permit icmp
permit tcp reflect tcptraffic
同樣需要配置reflexive access-lists的IPv6模式,操作差別不大:
interface Ethernet0/1
ipv6 address 2001:db9:1::1/64
ipv6 traffic-filter inboundfilter in
ipv6 traffic-filter outboundfilter out
ipv6 access-list inboundfilter
permit icmp host 2001:db8:1::F host 2001:db9:2::2
evaluate tcptraffic
ipv6 access-list outboundfilter
permit tcp any any reflect tcptraffic
Permit icmp any any
基於內容的訪問控制 (CBAC)也被稱作IOS防火牆。
在 IPv4 環境下,這個防火牆看起來是下面這樣:
ip inspect name FW tcp
!
interface Ethernet0
ip address
ip access-group 101 in
ip inspect FW in
!
interface Serial0.1 point-to-point
ip address
ip access-group 102 in
frame-relay interface-dlci 200 IETF
!
在 IPv6環境,基本沒什麼變化:
ip inspect name FW tcp
!
interface Ethernet0
ipv6 address 2001:db9:1::1/64
ipv6 traffic-filter inboundfilter in
ip inspect FW in
!
interface Serial0.1 point-to-point
ipv6 address 2001:db9:2::A/64
ipv6 traffic-filter outboundfilter in
frame-relay interface-dlci 200 IETF
!
另外還有Zone-Based防火牆,在IPv4和IPv6環境都是這樣:
class-map type inspect match-any MYPROTOS
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect OUTBOUND
class type inspect MYPROTOS
inspect
!
zone security inside
zone security outside
!
zone-pair security IN>OUT source inside destination outside
service-policy type inspect OUTBOUND
!
interface fastethernet0/0
zone-member security private
!
interface fastethernet0/1
zone-member security public
!
通過上述策略,你可以將IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP並不屬於三層協議,因此防火牆服務不會受到影響。
總之,上面是個很簡單的例子,主要就是爲了說明一件事,即在Cisco IOS設備上配置防火牆不論是IPv4還是IPv6,差別都不太大。所以,大家現在就可以開始考慮讓自己企業的網絡能夠支持雙協議,同時讓防火牆正常工作。
相關文章
-
cisco路由器voip配置解析2016
cisco路由器voip怎麼配置?在企業中路由器voip怎麼配置?下面跟yjbys小編一起來看看路由器voip配置過程及基本命令吧!在企業網絡中推廣IP語音技術有很多優點,例如可以控制數據流量,保證語音質量,充分利用企業租用的數據線 -
Cisco路由器如何配置實現VoIP
其實利用Cisco路由器配置可以輕鬆的實現VoIP,下面小編準備了關於Cisco路由器如何配置實現VoIP的文章,提供給大家參考!VoIP(Voice over IP)是一種通過互聯網傳遞語音的技術,是隨着互聯網技術的發展而成長起來的。它很好地 -
OFFICE2007每次打開word時都顯示配置microsoft office professio
Office 2007每次打開都要出現配置Microsoft Office Professional Plus 2007雙擊excel文件出現如下提示:然後提示:點擊確定出現:而上一步若點擊取消,則提示: 問題解決: 方法一:首先用360和諾頓都查了一遍,無木馬或病毒。參 -
Cisco路由器ISDN配置教程
在下面的例子中基本速率端口(BRI)端口被配置爲IP路由,並封裝PPP協議,採用CHAP做認證。爲了你參考方便,下一節提供了一個配置的例子Example ISDN Configuration,你在看這一節的時候也許會需要參考下節的例子。按照下面的步 -
CiscoIOS基本安全配置詳解2016
思科配置命令在IOS系統的命令行狀態下可以提供幾種工作模式,那麼CiscoIOS系統配置的基本命令是什麼呢?下面yjbys小編爲大家分享最全思科配置命令,希望對大家有所幫助!no ip domain-lookup關閉域名查詢no cdp run禁用cdp -
部署Cisco ASA防火牆解決方案FIREWALL v1.0考試
部署Cisco ASA防火牆解決方案 (FIREWALL v1.0)考試是與CCSP、CCNP安全和Cisco ASA 專業技術員認證相關的考試。該考試主要檢驗考生在實施和維護基於Cisco ASA的邊界解決方案方面所需的知識和技能。成功通過考試的.考 -
JavaScript中Cookie操作實際案例
JavaScript CookieCookie對象:Cookie是一種以文件的形式保存在客戶端硬盤的Cookies文件夾中的用戶數據信息(Cookie數據)。Cookie文件由所訪問的Web站點建立,以長久的保存客戶端與Web站點間的會話數據,並且該Cookie數據只 -
克服社交恐懼症OvercomingSocialPhobia國中英語作文
We live in a world that surrounded by people, we need to communicate with others, for the purpose of share our emotions and keep survive. While some people have social phobia, they are afraid of talki -
CiscoIOS系統配置超級用戶口令
CiscoIOS系統配置的超級用戶口令有哪些?下面yjbys小編爲大家詳細介紹如下: 超級用戶口令一共有以下幾條:(1)enable secretenable secret 0 密碼明文enable secret 5 密碼密文(MD5加密)(2)enable passwordenable pass -
Some words for this special occasion英文美文欣賞
2006 has come, and here we are again speculating what the New Year is going to bring along. Some of us are hustling around doing our last minute shopping; others phoning to their much loved parents li