Маршрутизатор с переменным состоянием

Его очень странный вопрос, но я хочу кое-что предложить вам. У нас есть пограничный маршрутизатор ASR1000, где работает BGP и 10G Интернет-соединение прекращается. Теперь я хочу настроить ACL на маршрутизаторе, чтобы сохранить плохой трафик на улице и разрешить только определенный порт. Следующий сценарий.

[Internal Public IP]------------[ASR1000]-------------[INTERNET]

Теперь, как я могу разрешить моей внутренней подсети IP, чтобы получить доступ ко всему в Интернете. В брандмауэре stateful вы можете сделать это, потому что он поддерживает состояние соединения, но ACL маршрутизатора не является работоспособным.

Как решить эту проблему?

  1. Внутри снаружи все позволяют
  2. Снаружи внутри только определенный трафик
3 голоса | спросил Satish 15 J000000Friday16 2016, 17:53:52

1 ответ


4

В IOS /IOS-XE вы можете использовать либо рефлексивные ACL, либо использовать проверку состояния с помощью Cisco Context Based Access Control (CBAC) или Zone Based Firewall (ZBF).

ZBF - это текущий способ проверки состояния. Он работает, создавая зоны и применяя зоны к интерфейсам. Затем вы создаете карту классов для определения трафика и использования карты политики для проверки трафика, который вы определили на карте классов. Затем вы создаете «пару зон», в которой вы определяете поток трафика (внутри снаружи) и применяете карту политики к этой паре. IOS затем проведет проверку состояния на этом трафике, как и любой другой брандмауэр.

Документация для ZBF на IOS XE находится здесь:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/xe- 3s /сек-данных ZBF-х-книга /втор-зона-POL-fw.html

ответил Mark 15 J000000Friday16 2016, 18:08:02

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132