隨著IPv4地址的枯竭,IPv4地址將成為歷史,取而代之的將是IPv6地址。我發現很多企業的網管在向IPv6遷移的問題上都顯得猶豫不決,可能是覺得這是個全新的領域,遷移起來會很麻煩。但實際工作,比如防火墻服務的調整,并沒有大家想象的那么難。Cisco IOS可以支持多種防火墻配置方式。比如你的設備有以下幾個靜態access-list:
access-list 101 permit tcp any host 10.1.1.1 eq www
access-list 101 permit tcp any host 10.1.1.1 eq ftp
access-list 101 permit tcp any host 10.1.1.1 eq 22
在 IPv6 路由器中,access-list配置也同樣存在,只不過像有了擴展名的access-list。
IPv6訪問列表范例:
permit tcp any host 2001:DB9:2:3::3 eq www sequence 10
permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20
permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30
permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40
使用ip traffic-filter命令控制端口要比我們習慣的ip access-group 命令使用起來更簡單明了。
IOS中的Reflexive Access-list:
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilter in
ip access-group outboundfilter out
ip access-list extended inboundfilter
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic
ip access-list extended outboundfilter
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
同樣需要配置reflexive access-lists的IPv6模式,操作差別不大:
interface Ethernet0/1
ipv6 address 2001:db9:1::1/64
ipv6 traffic-filter inboundfilter in
ipv6 traffic-filter outboundfilter out
ipv6 access-list inboundfilter
permit icmp host 2001:db8:1::F host 2001:db9:2::2
evaluate tcptraffic
ipv6 access-list outboundfilter
permit tcp any any reflect tcptraffic
Permit icmp any any
基于內容的訪問控制 (CBAC)也被稱作IOS防火墻。
在 IPv4 環境下,這個防火墻看起來是下面這樣:
ip inspect name FW tcp
!
interface Ethernet0
ip address 10.10.10.2 255.255.255.0
ip access-group 101 in
ip inspect FW in
!
interface Serial0.1 point-to-point
ip address 10.10.11.2 255.255.255.252
ip access-group 102 in
frame-relay interface-dlci 200 IETF
!
在 IPv6環境,基本沒什么變化:
ip inspect name FW tcp
!
interface Ethernet0
ipv6 address 2001:db9:1::1/64
ipv6 traffic-filter inboundfilter in
ip inspect FW in
!
interface Serial0.1 point-to-point
ipv6 address 2001:db9:2::A/64
ipv6 traffic-filter outboundfilter in
frame-relay interface-dlci 200 IETF
!
另外還有Zone-Based防火墻,在IPv4和IPv6環境都是這樣:
class-map type inspect match-any MYPROTOS
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect OUTBOUND
class type inspect MYPROTOS
inspect
!
zone security inside
zone security outside
!
zone-pair security IN>OUT source inside destination outside
service-policy type inspect OUTBOUND
!
interface fastethernet0/0
zone-member security private
!
interface fastethernet0/1
zone-member security public
!
通過上述策略,你可以將IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不屬于三層協議,因此防火墻服務不會受到影響。
總之,上面是個很簡單的例子,主要就是為了說明一件事,即在Cisco IOS設備上配置防火墻不論是IPv4還是IPv6,差別都不太大。所以,大家現在就可以開始考慮讓自己企業的網絡能夠支持雙協議,同時讓防火墻正常工作。
京公網安備 11010502049343號