主页 / server / 问题 / 114864
Accepted
MikeyB
Asked: 2010-02-20 21:04:19 +0800 CST

适用于小型网络的 Cisco IOS 上的基本 IPv6 防火墙

  • 772

现在我的网络已经有了 IPv6 连接,我正在为 IOS 寻找基本的 IPv6 防火墙配置。

过去我们可以依靠 NAT 来“隐藏”内部(阅读:仅限传出连接)机器,但谢天谢地,我们不再有 NAT 为我们做这项工作。

什么是小型内部网络的合理 IOS 配置/ACL 集?

cisco ipv6 ios

2 个回答

  1. Best Answer

    这就是我想出的。它有效,但我不确定它是否是最佳的。欢迎提出建议!

    interface IncomingTunnel0
 ipv6 traffic-filter exterior-in6 in
 ipv6 traffic-filter exterior-out6 out

interface LocalLan0
 ipv6 traffic-filter interior-in6 in
 ipv6 traffic-filter interior-out6 out

ipv6 access-list exterior-in6
 evaluate exterior-reflect sequence 1
 permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10
 permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11
 permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100
 permit icmp any any sequence 800
 deny ipv6 any any sequence 1000

ipv6 access-list exterior-out6
 sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect

ipv6 access-list interior-in6
 permit ipv6 fe80::/10 any
 permit ipv6 INTERNAL_LAN_SUBNET::/64 any

ipv6 access-list interior-out6
 permit ipv6 any any

    对于那些不熟悉自反访问列表的人来说,这是您进行状态连接跟踪的方式。换句话说,它允许对那些传出连接的响应返回给您。

    • 5

  2. 我真的建议使用检查而不是自反访问列表 - 例如:

    ipv6 inspect name IPV6FIREWALLINSPECT tcp
ipv6 inspect name IPV6FIREWALLINSPECT udp
ipv6 inspect name IPV6FIREWALLINSPECT icmp

int IncomingTunnel0
 ipv6 inspect IPV6FIREWALLINSPECT out
 ipv6 traffic-filter IPV6FIREWALL in

ipv6 access-list IPV6FIREWALL
 sequence 10 permit (explicit inbound traffic)
 sequence 20 deny ipv6 any any

    更清洁的配置。sho ipv6 inspect session 将显示允许返回流量的所有出站会话。

    • 0

相关问题