隨著IPv4地址的枯竭，IPv4地址將成為歷史，取而代之的將是IPv6地址。我發(fā)現(xiàn)很多企業(yè)的網(wǎng)管在向IPv6遷移的問(wèn)題上都顯得猶豫不決，可能是覺(jué)得這是個(gè)全新的領(lǐng)域，遷移起來(lái)會(huì)很麻煩。但實(shí)際工作，比如防火墻服務(wù)的調(diào)整，并沒(méi)有大家想象的那么難。Cisco IOS可以支持多種防火墻配置方式。比如你的設(shè)備有以下幾個(gè)靜態(tài)access-list:

access-list 101 permit tcp any host 10.1.1.1 eq www

access-list 101 permit tcp any host 10.1.1.1 eq ftp

access-list 101 permit tcp any host 10.1.1.1 eq 22

在 IPv6 路由器中，access-list配置也同樣存在，只不過(guò)像有了擴(kuò)展名的access-list。

IPv6訪問(wèn)列表范例：

permit tcp any host 2001:DB9:2:3::3 eq www sequence 10

permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20

permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30

permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40

使用ip traffic-filter命令控制端口要比我們習(xí)慣的ip access-group 命令使用起來(lái)更簡(jiǎn)單明了。

IOS中的Reflexive Access-list:

interface Ethernet0/1

ip address 172.16.1.2 255.255.255.0

ip access-group inboundfilter in

ip access-group outboundfilter out

ip access-list extended inboundfilter

permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

evaluate tcptraffic

ip access-list extended outboundfilter

permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

同樣需要配置reflexive access-lists的IPv6模式，操作差別不大：

interface Ethernet0/1

ipv6 address 2001:db9:1::1/64

ipv6 traffic-filter inboundfilter in

ipv6 traffic-filter outboundfilter out

ipv6 access-list inboundfilter

permit icmp host 2001:db8:1::F host 2001:db9:2::2

evaluate tcptraffic

ipv6 access-list outboundfilter

permit tcp any any reflect tcptraffic

Permit icmp any any

基于內(nèi)容的訪問(wèn)控制 (CBAC)也被稱(chēng)作IOS防火墻。

在 IPv4 環(huán)境下，這個(gè)防火墻看起來(lái)是下面這樣：

ip inspect name FW tcp

!

interface Ethernet0

ip address 10.10.10.2 255.255.255.0

ip access-group 101 in

ip inspect FW in

!

interface Serial0.1 point-to-point

ip address 10.10.11.2 255.255.255.252

ip access-group 102 in

frame-relay interface-dlci 200 IETF

!

在 IPv6環(huán)境，基本沒(méi)什么變化：

ip inspect name FW tcp

!

interface Ethernet0

ipv6 address 2001:db9:1::1/64

ipv6 traffic-filter inboundfilter in

ip inspect FW in

!

interface Serial0.1 point-to-point

ipv6 address 2001:db9:2::A/64

ipv6 traffic-filter outboundfilter in

frame-relay interface-dlci 200 IETF

!

另外還有Zone-Based防火墻，在IPv4和IPv6環(huán)境都是這樣：

class-map type inspect match-any MYPROTOS

match protocol tcp

match protocol udp

match protocol icmp

!

policy-map type inspect OUTBOUND

class type inspect MYPROTOS

inspect

!

zone security inside

zone security outside

!

zone-pair security IN>OUT source inside destination outside

service-policy type inspect OUTBOUND

!

interface fastethernet0/0

zone-member security private

!

interface fastethernet0/1

zone-member security public

!

通過(guò)上述策略，你可以將IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不屬于三層協(xié)議，因此防火墻服務(wù)不會(huì)受到影響。

總之，上面是個(gè)很簡(jiǎn)單的例子，主要就是為了說(shuō)明一件事，即在Cisco IOS設(shè)備上配置防火墻不論是IPv4還是IPv6，差別都不太大。所以，大家現(xiàn)在就可以開(kāi)始考慮讓自己企業(yè)的網(wǎng)絡(luò)能夠支持雙協(xié)議，同時(shí)讓防火墻正常工作。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： 大數(shù)據(jù) 防火墻 防火墻服務(wù) 防火墻配置 網(wǎng)絡(luò) 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。