在CiscoiOS中配置IPv6防火墙案例教程
在CiscoiOS中配置IPv6防火墙案例教程
随着IPv4地址的枯竭‘IPv4地址将成为历史,取而代之的将是
IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得 犹
豫不决,可能是觉得这是个全新的领域,迁移起来会很麻烦。但 实际工作,比如防火墙服务的调整,并没有大家想象的那么难。
CiscoiOS可以支持多种防火墙配置方式。比如你的' 设备有以下几 个
静态
access-list:
access-listlOlpermittcpanyhostl0. 1. 1. leqwww access-listlOlpermittcpanyhostl0. 1.1.leqftp access^listlOlpermittcpanyhostl0. 1. 1. Ieq22
在IPv6路由器中,access-list配置也同样存在,只不过像有 了扩展名的 access-listo
IPv6访问列表范例:
permittcpanyhost2001:DB9:2:3::3eqwwwsequencel0 permittcpanyhost2001:DB9:2:3::3eqtelnetsequence20 permittcpanyhost2001:DB9:2:3::3eq22sequence30 permittcp8nyhost2001:DB9:2:3::3eqftpsequence40
使用iptraffic-filter命令控制端口要比我们习惯的 ipaccess-group命令使用起来更简单明了。
I0S 中的 ReflexiveAccess-list: interfaceEthernetO/1
ipaddressl72? 16. 1. 2255? 255? 255? 0
ipaccess-groupinboundfilterin ipaccess-groupoutboundfilterout ipaccess-listextendedinboundfilter
permiticmpl72. 16. 1. 00. 0. 0. 25510. 1. 1. 00. 0. 0. 255 evaluatetcptraffic
ipaccess-listextendedoutboundfilter
permiticmplO. 1. 1. 00. 0. 0. 255172. 16. 1. 00. 0. 0. 255 permittcplO. 1. 1. 00. 0. 0. 255172. 16. 1. 00. 0. 0. 255ref lecttcpt raffic
同样需要配置reflexiveaccess-lists的IPv6模式,操作差别 不大:
interfaceEthernet0/l ipv6address2001:db9:1::1/64 ipv6traffic-filterinboundfilterin ipv6traff ic-f ilteroutboundfiIterout ipv6access-listinboundfilter
permiticmphost2001:db8:1::Fhost2001:db9:2::2 evaluatetcptraffic
ipv6access~listoutboundfilter permittcpanyanyreflecttcptraffic Permit i cmpanyany
基于内容的访问控制(CBAC)也被称作I0S防火墙。
在IPv4环境下,这个防火墙看起来是下而这样:
ipinspectnameFWtcp
!
interfaceEthernetO
ipaddresslO. 10. 10. 2255. 255. 255. 0 ipaccess-grouplOlin ipinspectFWin
!
interfaceSerial0. lpoint-to-point ipaddresslO. 10. 11. 2255. 255. 255. 252 ipaccess-groupl02in frame-relayinterface-dlci200IETF
I
■
在IPv6环境,基本没什么变化:
ipinspectnameFWtcp
!
interfaceEthernetO
ipv6address2001:db9:1::1/64
ipv6traffic-filterinboundfilterin ipinspectFWin
!
interfaceSerial0. lpoint-to-point ipv6address2001:db9:2::A/64
ipv6traff ic-f ilteroutboundfilterin frame-relayinterface-dlci200IETF
在CiscoIOS中配置IPv6防火墙案例教程
