Anticisco блогове - блог архив - IOS прозрачна защитна стена

Продължавайки IOS Firewall теми бих искал да говоря с теб за друга технология, наречена Cisco IOS Firewall прозрачно.

Тази функция е въведена в Cisco рутери в IOS 12.3 (7) Т. Тя позволява филтриране на трафика и прилагане на динамични приложения за инспекция, маршрутизаторът действа като L2-мост.

Като цяло, за по-лесно разбиране, можете да сравните с BVI СВИ (Включване Virtual интерфейс) на L3-ключа. В допълнение към това, заедно с въздушните командата мост трябва да добавите командния мостик маршрут IP. където НОМЕР - номер на мостова група. В противен случай, BVI интерфейс няма да маршрутни IP-пакети.

Можете да приложите правилата на класически динамичен инспекция защитна стена за кандидатстване и за достъп до списъци на интерфейси. Например:

преодоляване IRB мост група 1 протокол IEEE мост 1 маршрут интраперитонеално! IP инспектира име ПОЖАР TCP IP инспектира име ПОЖАР UDP IP инспектира име ПОЖАР ICMP! IP достъп списък удължен ACL_OUTSIDE-IN отрече IP всеки всеки! интерфейс FastEthernet 1/0 мост група 1 IP инспектира огъня интерфейс FastEthernet 1/1 мост група 1 IP достъп на група ACL_OUTSIDE-IN в

В прозрачен режим се поддържа само за проверка на TCP / UDP и ICMP. Това не е по подразбиране-ПР пакети са позволени (ARP, STP, и т.н.). Ако не искате да блокирате IP трафик, трябва да се прилага по отношение на списъка за достъп до интерфейса на мост. Тези списъци за достъп се базират на стойностите на Ethertype. Например, следният списък достъп позволява всички IP трафик и ARP, но блокове WOL магия пакет:

достъп списък 250 разрешение 0x0800 достъп списък 250 разрешение 0x0806 достъп списъка 250 отрече 0x0842 достъп списък 250 разрешение 0x0 0xFFFF мост група 1 вход тип списък 250

Забележка :. Ethertype- vEthernet две байт глава. Намира се непосредствено след поле «SourceMAC». Той се използва, за да се посочи кой протокол е капсулиран vEthernetfreym.

Защитна стена в прозрачен режим не инспектира мултикаст Ethernet рамки - те имат право, независимо от това, което е конфигурирано в списъците на входящи достъп. Въпреки това, рамки за излъчване са тествани в списъка за достъп. За DHCP-пакети защитна стена осигурява специални средства за обработка (т.к. DHCP е важна част от инфраструктурата на мрежата). За да се позволи преминаването на DHCP-съобщения през защитната стена (отново, независимо от това, което е конфигурирано в списъка за достъп), използвайте командата ПР инспектира L2-прозрачен DHCP-пропускателен.

Прибл. трафик, генериран от самия рутер не е тестван в списъка за достъп, които са предназначени за взаимодействие в групата на мост. За контрол за контрол на трафика, трябва да създадете отделен списък за достъп и да го naBVI интерфейс прилага.