Anticisco bloguri - arhiva blogului - ios firewall transparent

Continuând subiecte IOS de firewall, aș dori să vorbesc cu tine despre o alta tehnologie, numita Cisco IOS Firewall transparent.

Această caracteristică a fost introdusă pentru prima dată în routere Cisco în IOS 12.3 (7) T. Acesta permite filtrarea traficului și să pună în aplicare o serie de aplicații de control dinamic, actele router ca L2-pod.

În general, pentru ușurința înțelegerii, puteți compara BVI cu SVI (Comutare Virtual Interface) pe L3-comutator. În plus față de acest lucru, împreună cu puntea de comandă IRB trebuie să adăugați puntea de comandă ip route. unde NUMBER - numărul grupului de pod. În caz contrar, IVB-interfață nu va ruta IP-pachete.

Puteți aplica regulile firewall-ului clasic de control dinamic pentru liste de aplicații și acces la interfețe. De exemplu:

punte pod-grup IRB 1 pod protocol ieee 1 ip route! ip inspecta numele FIRE ip tcp inspecta numele FIRE ip udp inspecta numele FIRE ICMP! ip lista de acces extins ACL_OUTSIDE-IN neagă orice ip orice! interfață FastEthernet 1/0 pod-grup 1 ip inspectați foc interfata FastEthernet 1/1 pod-grup 1 ip-grup de acces ACL_OUTSIDE-IN

În mod transparent, este acceptată numai pentru inspecția TCP / UDP, si ICMP. Nu este default-IP pachetele sunt permise (ARP, STP, etc). Dacă nu doriți să blocați IP-trafic, trebuie să aplicați lista de acces la interfața de pod. Aceste liste de acces se bazează pe valorile Ethertype. De exemplu, următoarea listă de acces permite tuturor IP-trafic și ARP, dar blocuri de pachete de WOL Magic:

lista de acces 250 permis 0x0800 lista de acces 250 permis 0x0806 lista de acces 250 neagă 0x0842 lista de acces 250 permis 0x0 0xFFFF bridge-grup 1 input-tip listă 250

Notă :. Ethertype- vEthernet două antet octet. Situat imediat după câmpul «SourceMAC». Este folosit pentru a indica ce protocol este încapsulat vEthernetfreym.

Firewall în mod transparent, nu inspecta cadre Ethernet multicast - acestea sunt permise, indiferent de ceea ce este configurat în listele de acces de intrare. Cu toate acestea, cadrele de difuzare sunt testate în lista de acces. Pentru DHCP-pachete firewall oferă un mijloc de procesare speciale (p.f. DHCP este o parte importanta a infrastructurii de rețea). Pentru a permite trecerea DHCP-mesaje prin firewall (din nou, indiferent de ceea ce este configurat pe lista de acces), utilizați ip-ul de comandă inspectați-l2 transparent-passthrough dhcp.

Aproximativ traficul generat de router-ul în sine nu este testat în listele de acces care sunt atribuite interfețe în grupul de pod. Pentru a controla controlul traficului trebuie să creați o listă de acces separat și se aplică interfață naBVI.