自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

如何關(guān)閉企業(yè)所有IPv6通道?

作者:佚名
網(wǎng)絡(luò) 網(wǎng)絡(luò)管理
從IPv4轉(zhuǎn)換到IPv6的技術(shù)其實(shí)主要是隧道技術(shù)的應(yīng)用;這是一項(xiàng)將IPv6數(shù)據(jù)包裝入IPv4數(shù)據(jù)包的技術(shù),因此這樣的數(shù)據(jù)包可以在僅限IPv4的網(wǎng)絡(luò)中進(jìn)行傳輸。這些隧道也可以用于企業(yè)網(wǎng)絡(luò)中(如穿越一些不支持IPv6的傳統(tǒng)網(wǎng)絡(luò)設(shè)備)。

從IPv4轉(zhuǎn)換到IPv6的技術(shù)其實(shí)主要是隧道技術(shù)的應(yīng)用;這是一項(xiàng)將IPv6數(shù)據(jù)包裝入IPv4數(shù)據(jù)包的技術(shù),因此這樣的數(shù)據(jù)包可以在僅限IPv4的網(wǎng)絡(luò)中進(jìn)行傳輸。這些隧道也可以用于企業(yè)網(wǎng)絡(luò)中(如穿越一些不支持IPv6的傳統(tǒng)網(wǎng)絡(luò)設(shè)備)。

當(dāng)然,網(wǎng)絡(luò)運(yùn)營(yíng)商和安全團(tuán)隊(duì)對(duì)并不贊成這樣的提議。主要的原因是隧道技術(shù)可以將真正的IPv6數(shù)據(jù)包以及網(wǎng)絡(luò)流分析器給出的與之相關(guān)的4層及以上的信息,還有安全ACL,QoS設(shè)置等統(tǒng)統(tǒng)隱藏起來(lái)。有傳言稱(chēng),使用IPv6 in IPv4的隧道技術(shù)作為一種控制方法會(huì)導(dǎo)致僵尸網(wǎng)絡(luò)。簡(jiǎn)而言之,企業(yè)網(wǎng)絡(luò)中,如果這樣的通道不是刻意為之,那么就應(yīng)該將其關(guān)閉。(注意:上面的表述僅限于企業(yè)網(wǎng)絡(luò),因?yàn)閭€(gè)人用戶(hù)可能非常樂(lè)意將其操作系統(tǒng)連接至IPv6網(wǎng)絡(luò)。)

所以,對(duì)于網(wǎng)管而言,最根本的問(wèn)題在于是否能阻止所有通道。

就一些6to4或ISATAP通道來(lái)說(shuō),要回答這個(gè)問(wèn)題并不難:只需用訪問(wèn)控制列表(ACL)阻止所有41協(xié)議即可,如:

  1. access-list deny 41 any any 

另一種通道是Teredo,它需要依賴(lài)UDP封裝技術(shù)。Teredo使用的默認(rèn)端口是3544.或許有人想使用如下的訪問(wèn)控制列表來(lái)解決:

  1. access-list deny udp any any eq 3544  
  2. access-list deny udp any eq 3544 any 

但是,上面的訪問(wèn)控制列表會(huì)被恰好需要使用3544端口的普通數(shù)據(jù)包錯(cuò)誤攔截。此外,不法用戶(hù)也可以改變UDP.這種情況下,思科Flexible Pattern Matching的功能和靈活性就有了用武之地:FPM可以根據(jù)指定的偏移量來(lái)檢查任意數(shù)據(jù)包,且要在***平臺(tái)的軟件中完成;也就是說(shuō),F(xiàn)PM只在合適的位置使用。找出Teredo數(shù)據(jù)包的技巧就是要搜索所有UDP數(shù)據(jù)包,目的是獲取所有以2001::/32開(kāi)頭的Teredo IPv6地址;請(qǐng)注意,此處我們使用的是/32,而不是/16,實(shí)際上,應(yīng)該是2001:0::/32.還要對(duì)IP數(shù)據(jù)做進(jìn)一步的檢查。

完整的FPM配置如下:

  1. class-map type stack match-all cm-ip-udp  
  2. match field IP protocol eq 17 next UDP  
  3. class-map type access-control match-all cm-teredo1  
  4. match start udp payload-start offset 0 size 1 eq 0x60 mask 15  
  5. match start udp payload-start offset 8 size 4 eq 0x20010000  
  6. class-map type access-control match-all cm-teredo2  
  7. match start udp payload-start offset 0 size 1 eq 0x60 mask 15  
  8. match start udp payload-start offset 24 size 4 eq 0x20010000  
  9. policy-map type access-control pm-teredo  
  10. class cm-teredo1  
  11. drop  
  12. class cm-teredo2  
  13. drop  
  14. policy-map type access-control pm-udp-teredo  
  15. class cm-ip-udp  
  16. service-policy pm-teredo 

***一個(gè)步驟是將這一服務(wù)策略應(yīng)用到界面:

  1. interface GigabitEthernet1/36  
  2. service-policy type access-control in pm-udp-teredo 

***,要請(qǐng)大家注意,另一種阻止所有通道的方法是指定所有網(wǎng)絡(luò)主機(jī)上的配置以禁用通道。當(dāng)然,這僅適用于企業(yè)網(wǎng)絡(luò)。例如,在使用Vista系統(tǒng)的電腦中可以使用如下命令:

  1. netsh interface 6to4 set state state=disabled undoonstop=disabled 
  2. netsh interface isatap set state state=disabled 
  3. netsh interface teredo set state type=disabled 

 

責(zé)任編輯:佟健 來(lái)源: IT專(zhuān)家網(wǎng)
IPv6IPv4思科
相關(guān)推薦

2010-05-31 09:58:57

關(guān)閉IPv6

2013-03-13 09:56:24

IPv6IPv4NDP

2019-07-01 10:09:09

IPv6IPv4運(yùn)營(yíng)商

2011-07-10 14:59:14

IPv6企業(yè)IPv6部署

2010-05-31 10:34:48

關(guān)閉IPv6

2017-06-14 14:57:13

IPv6企業(yè)部署

2011-07-10 14:01:00

IPv6應(yīng)用過(guò)渡

2019-09-23 11:03:55

IPv6IPv4網(wǎng)絡(luò)

2019-06-05 15:43:34

IPV6IPV4網(wǎng)站

2012-10-19 15:31:58

2010-09-17 16:31:34

IPV6

2013-11-26 17:46:51

2009-07-15 10:22:27

2010-05-31 10:52:43

IPv6隧道

2013-06-09 09:17:05

2019-06-28 15:25:05

IPv6協(xié)議Ubuntu

2018-05-03 14:40:07

IPv6互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)

2010-05-25 14:55:47

IPv6與RFID結(jié)合

2012-04-27 13:33:40

銳捷網(wǎng)絡(luò)物聯(lián)網(wǎng)IPv6
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)