隨著IPv4地址的枯竭，IPv4地址將成為歷史，取而代之的將是IPv6地址。我發(fā)現(xiàn)很多企業(yè)的網(wǎng)管在向IPv6遷移的問題上都顯得猶豫不決，可能是覺得這是個(gè)全新的領(lǐng)域，遷移起來會(huì)很麻煩。但實(shí)際工作，比如防火墻服務(wù)的調(diào)整，并沒有大家想象的那么難。Cisco IOS可以支持多種防火墻配置方式。比如你的設(shè)備有以下幾個(gè)靜態(tài)
 

access-list:  
　　access-list 101 permit tcp any host 10.1.1.1 eq www  
 
　　access-list 101 permit tcp any host 10.1.1.1 eq ftp  
 
　　access-list 101 permit tcp any host 10.1.1.1 eq 22  
 
　　在 IPv6 路由器中，access-list配置也同樣存在，只不過像有了擴(kuò)展名的access-list。  
 
　　IPv6訪問列表范例：  
 
　　permit tcp any host 2001:DB9:2:3::3 eq www sequence 10  
 
　　permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20  
 
　　permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30  
 
　　permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40  
 
　　使用ip traffic-filter命令控制端口要比我們習(xí)慣的ip access-group 命令使用起來更簡單明了。  
 
　　IOS中的Reflexive Access-list:  
 
　　interface Ethernet0/1  
 
　　ip address 172.16.1.2 255.255.255.0  
 
　　ip access-group inboundfilter in  
 
　　ip access-group outboundfilter out  
 
　　ip access-list extended inboundfilter  
 
　　permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255  
 
　　evaluate tcptraffic  
 
　　ip access-list extended outboundfilter  
 
　　permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255  
 
　　permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic  
 
　　同樣需要配置reflexive access-lists的IPv6模式，操作差別不大：  
 
　　interface Ethernet0/1  
 
　　ipv6 address 2001:db9:1::1/64  
 
　　ipv6 traffic-filter inboundfilter in  
 
　　ipv6 traffic-filter outboundfilter out  
 
　　ipv6 access-list inboundfilter  
 
　　permit icmp host 2001:db8:1::F host 2001:db9:2::2  
 
　　evaluate tcptraffic  
 
　　ipv6 access-list outboundfilter  
 
　　permit tcp any any reflect tcptraffic  
 
　　Permit icmp any any  
 
　　基于內(nèi)容的訪問控制 (CBAC)也被稱作IOS防火墻。  
 
　　在 IPv4 環(huán)境下，這個(gè)防火墻看起來是下面這樣：  
 
　　ip inspect name FW tcp  
 
　　!  
 
　　interface Ethernet0  
 
　　ip address 10.10.10.2 255.255.255.0  
 
　　ip access-group 101 in  
 
　　ip inspect FW in  
 
　　!  
 
　　interface Serial0.1 point-to-point  
 
　　ip address 10.10.11.2 255.255.255.252  
 
　　ip access-group 102 in  
 
　　frame-relay interface-dlci 200 IETF  
 
　　!  
 
　　在 IPv6環(huán)境，基本沒什么變化：  
 
　　ip inspect name FW tcp  
 
　　!  
 
　　interface Ethernet0  
 
　　ipv6 address 2001:db9:1::1/64  
 
　　ipv6 traffic-filter inboundfilter in  
 
　　ip inspect FW in  
 
　　!  
 
　　interface Serial0.1 point-to-point  
 
　　ipv6 address 2001:db9:2::A/64  
 
　　ipv6 traffic-filter outboundfilter in  
 
　　frame-relay interface-dlci 200 IETF  
 
　　!  
 
　　另外還有Zone-Based防火墻，在IPv4和IPv6環(huán)境都是這樣：  
 
　　class-map type inspect match-any MYPROTOS  
 
　　match protocol tcp  
 
　　match protocol udp  
 
　　match protocol icmp  
 
　　!  
 
　　policy-map type inspect OUTBOUND  
 
　　class type inspect MYPROTOS  
 
　　inspect  
 
　　!  
 
　　zone security inside  
 
　　zone security outside  
 
　　!  
 
　　zone-pair security IN>OUT source inside destination outside  
 
　　service-policy type inspect OUTBOUND  
 
　　!  
 
　　interface fastethernet0/0  
 
　　zone-member security private  
 
　　!  
 
　　interface fastethernet0/1  
 
　　zone-member security public  
 
　　!  
 
 
TechTarget中國原創(chuàng)內(nèi)容，原文鏈接：http://www.searchnetworking.com.cn/showcontent_53322.htm 

通過上述策略，你可以將IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不屬于三層協(xié)議，因此防火墻服務(wù)不會(huì)受到影響。

總之，上面是個(gè)很簡單的例子，主要就是為了說明一件事，即在Cisco IOS設(shè)備上配置防火墻不論是IPv4還是IPv6，差別都不太大。所以，大家現(xiàn)在就可以開始考慮讓自己企業(yè)的網(wǎng)絡(luò)能夠支持雙協(xié)議，同時(shí)讓防火墻正常工作。
 

【編輯推薦】

1. 我國IPv6大規(guī)模商用驅(qū)動(dòng)力不夠 發(fā)展面臨挑戰(zhàn)
2. 深信服和您一起解析防火墻的前世今生
3. IPv6地址規(guī)劃方法
4. A10網(wǎng)絡(luò)公司發(fā)布ACOS2.6.4版本支持IPv6 遷移
5. 飛魚星推出VR470G全千兆多WAN防火墻路由器